Softwaresicherheit ist im Wilden Westen (und das wird uns umbringen)
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
