Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser?

Transkript

1 Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

2 Klassifizierung von Software Qualität und Vertrauenswürdigkeit 2

3 Klassifizierung von Software Gute und schlechte 3

4 Klassifizierung von Software Gutartige und bösartige 4

5 Klassifizierung von Software Gutartige und bösartige 5

6 Gute Software Gute (sichere) Software erreicht ein hohes Maß an Qualität Hohe Funktionalität Alle Funktionen arbeiten korrekt und zuverlässig Sehr gute Benutzerfreundlichkeit (einfach und verständlich) Aus Sicht der IT-Sicherheit: Kaum Sicherheitsprobleme & Bugs Hohe Datensicherheit und Datenschutz 6

7 Schlechte Software Zu viele Fehler / Schwachstellen Einfach anzugreifen (unsichere Software) ist die Basis für bösartige Software Malware Die größte Ursachen für schlechte Software IT-Sicherheitsherausforderung Steigende Komplexität Zu viele Schwachstellen Kein Sicherheitsbewusstsein in Software! Fehlende Expertise Schlechter Programmierstil Mangelnde Informationen über eingesetzte Bibliotheken & Komponenten Fehlendes Wissen über aktuelle Sicherheitsbedrohungen Zeitdruck: Time-to-Market Unzureichendes Testen Kurze Anforderungsphase und daraus resultierender unsystematischer Entwurf Liste beliebig erweiterbar (ca Fehler in 10 Mio. LoC) 7

8 Gutartige Software Normale Software-Produkte Vom Treiber über das Betriebssystem bis hin zu großen oder kleinen Anwendungen Lösungen werden im privaten und betrieblichen/behördlichen Umfeld eingesetzt, um gewollte Aufgaben zu bewältigen Nutzer nutzt wissentlich und aktiv die Software Kein krimineller Hintergedanke! Gutartige Software kann gut oder schlecht sein! (Ist zurzeit nicht gut genug!) 8

9 Bösartige Software: Malware Bösartige Software tut Dinge, die der Nutzer meistens nicht bemerkt und die auch nicht gewollt sind! Malware gelangt über schlechte Software auf Rechnersysteme Ungenügender Schutz von Anti-Malware-Lösungen Schlechte Webseiten / / PDF / Software Aber auch: Falsche Verhaltensweise der Nutzer Jeder 20. Computer hat intelligente Malware! Schadfunktionen & Bedrohungen von intelligenter Malware (oft sehr gute Software) Flexible multifunktionale Steuerung über C&C Server Spammen, Click Fraud, DDoS, Datendiebstahl/-manipulation,... Ungenügender Schutz Verbreitung & Infizierung vor Malware weiterer Systeme 9

10 Qualität von Software Ist open oder closed besser? Zurzeit ist die Software-Qualität von Open und Closed Source Software die gleiche. Also gibt es zurzeit auch keinen Unterschied zu berücksichtigenden! Gleichstand 10

11 Vertrauenswürdigkeit von Software Ist open oder closed besser? Ein besonderer, potentieller Vorteil von Open Source SW ist die Möglichkeit, einen höheren Grad an Vertrauenswürdigkeit erreichen zu können. Es ist sehr einfach möglich, eigene IT-Sicherheitslösungen einzubinden Sehr großes Potenzial, das zurzeit nicht ausgeschöpft wird. Negativbeispiel: Open Source Software OpenSSL Sehr viele große Organisationen nutzen eine Open Source Software, aber helfen nicht, diese auch qualitativ und sicher zu bekommen und zu halten (es gibt keine Anreize) Die Kosten für die Überprüfung der Software (open/closed) sind sehr hoch! Angreifer haben es bei einer Open Source Software deutlich einfacher, Schwachstellen finden und diese für sich ausnutzen. Im Bereich der Open Source Software ist die Herausforderung das Potenzial für mehr Vertrauenswürdigkeit zu nutzen. 11

12 Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Fazit: Gleichstand Aber, höheres Potential für mehr Vertrauenswürdigkeit bei Open Source Software Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen