Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken mit Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken mit Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing"

Transkript

1 Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken mit Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing Prof. Dr. Hartmut Pohl Geschäftsführender Gesellschafter softscheck GmbH Köln www. softscheck.com

2 Ihre Strategie ist falsch! Sicherheit ist in allen Bereichen der Informationstechnik wichtig allerdings werden die vielen Angriffe betrachtet und nicht die vergleichsweise wenigen Sicherheitslücken (Vulnerabilities)! Denn: Eine einzige Vulnerability kann von einer ganzen Reihe von Angriffen ausgenutzt werden! Darüber hinaus ist gegen Angriffe, die bisher nicht-erkannte (!) also unveröffentlichte - Vulnerabilities ausnutzen, kein Kraut gewachsen, weil diese Angriffe gar nicht erkannt werden können. Diese Angriffe können auch nicht gesucht werden wonach sollte man auch suchen? Keiner kennt den Angriffspunkt, die Sicherheitslücke! Diese Angriffe sind also stealth. Ergebnis: Werden die Vulnerabilities identifiziert (und behoben) können Angriffe nicht mehr erfolgreich sein. In diesem White Paper werden die 3 erfolgreichen Verfahren zur Identifizierung bisher nicht-erkannter Vulnerabilities dargestellt: Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing. Inhalt 1 Management Summary Keine Software ohne Fehler? Software-Entwicklungszyklus Threat Modeling Static Source Code Analysis Fuzzing Beispielhafte Fuzzing-Bereiche... 6 Webanwendungen... 6 Embedded Systems... 7 App-Fuzzing Spezielle Anwendungen... 7 Entwicklung proprietärer Fuzzer... 7 Proprietäre Attack Strings Ergebnisse Die erfolgreichsten Verfahren zur Identifizierung von Sicherheitslücken... 8 Threat Modeling... 8 Static Source Code Analysis... 8 Fuzzing... 8 Weiterführende Literatur August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 1 von 9

3 1 Management Summary Mit dem Einsatz von Tools zum Threat Modeling (Design Phase), Static Analysis (Implementation Phase) und Fuzzing (Verifikation Phase) werden auch bisher nicht veröffentlichte Sicherheitslücken identifiziert. Der Einsatz dieser beiden Verfahren erfordert in frühen Entwicklungsphasen einen weitaus geringeren Aufwand, als wenn die Software schon ausgeliefert ist (Release Phase) und erst dann korrigiert wird - vgl. Abb. 1. Zudem lassen sich diese Verfahren für viele Anwendungsbereiche einsetzen: Anwendungssoftware (Webapplications, ERM, CRM, SCM, ERP, E-Business, CIM etc.) und Netzwerk-Protokolle, Embedded Systems (auch die Hardware) und Industriesteuerungssoftware (auch proprietärer Systeme) sowie Apps und Applets für smart and mobile Devices etc. Der Einsatz herkömmlicher Verfahren zur Behebung von Fehlern und insbesondere nicht veröffentlichten Sicherheitslücken ist dagegen sehr kostenaufwändig - viele Sicherheitslücken werden erst nach der Auslieferung der Software an die Kunden - z.t. auch von Dritten - erkannt. Den exponentiell steigenden Aufwand zur Behebung (Patchen) von Sicherheitslücken zeigt Abb. 2. Tatsächlich steigt der Patchaufwand nach einigen Untersuchung - u.a. des National Institute of Standards and Technology (NIST) - von der Designphase zur Release Phase auf das 100-fache. Aus eigenen Untersuchungen wissen wir, dass der Aufwand zur Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing sehr kostengünstig durchgeführt werden kann auch wenn sich die Software schon auf dem Markt befindet. Sicherheitslücken werden wie folgt erkannt: Systematische Suche nach Sicherheitslücken mit den Verfahren Threat Modeling, Static Analysis und Fuzzing. Identifizieren der wesentlichen, schwerwiegendsten, (remote) aus dem Internet leicht ausnutzbaren Sicherheitslücken und Bewertung der übrigen Sicherheitslücken (Priorisrung). Die entscheidenden Faktoren für diese drei Verfahren sind: Fuzzing benötigt zum Erfolg keinen Quellcode (Blackbox-Test): Die Software wird während Ihrer Ausführung untersucht. Hierzu kann die Software in einer Virtuellen Maschine oder auf einem anderen Testsystem ausgeführt werden. Wir empfehlen den sich Einsatz der drei Verfahren Threat Modeling, Static analysis und Dynamic Analysis: Fuzzing, weil sie sich ergänzen. Wir empfehlen den Einsatz von 3 7 Fuzzing Tools, weil nur ein Bündel von Fuzzern eine hinreichende Menge kritischer Sicherheitslücken identifiziert. Ist für ein konkretes Target System ein angemessener Fuzzer nicht verfügbar, entwickelt soft check spezielle Fuzzer. Für spezielle Target Systems entwickelt soft check auch spezifische Attack Strings auf der Basis selbst entwickelter Testdaten. Fuzzing wird erfolgreich auch in den Bereichen Webanwendungen, App eingesetzt sowie in Hardware. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt den Einsatz von Threat Modeling, Static Analysis und Fuzzing. Training Requirements Design Implementation Verification Release Response Threat Modeling: Security Architecture, Abuse Cases, Risk Analysis, Attack Surface Minimalisation Static Analysis: Souce Code Analysis (white box) Fuzzing Black Box & White Box Abb. 1: Lebenszyklus der Entwicklung sicherer Software 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 2 von 9

4 2 Keine Software ohne Fehler? Software kann tatsächlich nicht fehlerfrei erstellt werden. Dies macht eine Überprüfung der Software erforderlich, wobei eine enge Bindung zur Qualitätssicherung besteht. Manuelle Überprüfungen sind angesichts des meist großen Code-Umfangs nicht praktikabel. In der Welt des traditionellen Software Testing bleiben Sicherheitslücken in der Design Phase meist unberücksichtigt und in der Implementation Phase werden (häufig ausgezeichnete) Programmierhandbücher eingesetzt. Ziele von Tests sind allein die spezifizierten Funktionalitäten. Nicht-funktionale Tests werden häufig vernachlässigt. Mit den Verfahren Threat Modeling, Static Analysis und Fuzzing können Sicherheitslücken erkannt werden, die beispielsweise die folgenden Angriffe ermöglichen: Verletzung der Zugriffsregeln Formatstring-Angriffe SQL Injections Buffer Overflows. 3 Software-Entwicklungszyklus Software wird unter Einsatz von Methoden hergestellt, die Sicherheitslücken nicht vollständig vermeiden (können) menschliche Fehler können nicht ausgeschlossen werden; selbst wenn Programmierrichtlinien vorhanden sind, werden sie nicht (vollständig) eingehalten und nicht (vollständig) kontrolliert. Dabei existieren wirkungsvolle Tools weit über klassische Verfahren des Testing hinaus, die Sicherheitslücken bereits in der Designphase identifizieren (Threat Modeling) oder spätestens in der Verifikationsphase (Fuzzing und Penetration Testing). Beim Threat Modeling werden Design-Fehler erkannt, indem z.b. Datenflussdiagramme und Angriffsbäume ausgewertet werden. Beim Fuzzing werden zur Identifizierung bisher nicht-erkannter Sicherheitslücken die Eingabeschnittstellen (Attack Surface) gerade mit solchen Eingaben attackiert, die nicht spezifiziert sind, wodurch ein Fehlverhalten der Software provoziert wird. Costs 35 x Application in the Field 15 x 6 x 1 x Threat Modeling Static Analysis Fuzzing Requirements / Design Implementation Verification / Testing Release Phase Abb. 2: Kosten der Behebung von Sicherheitslücken in den Software-Entwicklungsphasen Allzu viele Sicherheitslücken werden aber nach wie vor erst dann identifiziert, wenn Software an den Kunden ausgeliefert ist. Im Folgenden werden die Methoden zur Identifizierung von Sicherheitslücken dargestellt und einige bekannte Tools genannt. Die Kosten zur Beseitigung von Softwarefehlern, sind abhängig von deren zeitlicher Entdeckung im Software Development Lifecycle (SDLC). Werden Fehler erst nach dem Release beim Endkunden - entdeckt, steigen die Kosten je nach Untersuchung - um den Faktor 30 bis vgl. Abb. 2. Die Qualität von Softwareprodukten ist häufig auf mangelnde Ressourcen in den entwickelnden Unternehmen zurückzuführen. Zudem werden vom Markt sehr kurze Produktlebenszyklen vorgegeben. Dabei lassen sich Threat Modeling, Static Analysis und Fuzzing als marktgerechte Methoden zur Entdeckung von Softwarefehlern nutzen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 3 von 9

5 Untersuchungen in Projekten von soft check zeigen, dass im Vergleich zu traditionellen Methoden dazu nur wenige Ressourcen benötigt werden. Im Rahmen des vom Bundesministerium für Bildung und Forschung an der Hochschule Bonn-Rhein-Sieg geförderten Projektes (FKZ 01 IS 09030) soft check werden über 100 weltweit verfügbare Tools zum Threat Modeling und Fuzzing analysiert und bewertet. 4 Threat Modeling Dieses proaktive und heuristische Verfahren unterstützt die methodische Entwicklung eines vertrauenswürdigen Systementwurfs oder einer Architektur in der Design Phase - sodass dies am kosteneffizientesten ist. Gleichermaßen lassen sich bereits bestehende Systementwürfe und Architekturen verifizieren, mit dem Ziel der Identifizierung, Bewertung und Korrektur von Sicherheitslücken. Threat #1 Decrypt Company Secrets and 1.1 Obtain Encrypted File 1.2 Obtain Password/Key Bribe the Sysadmin Hack the Database Brute Force Password/Key Use Keylogger Vorgehen beim Threat Modeling Abb. 3: Fehlerbaum im Threat Modeling Analyse der Dokumentation (falls vorhanden) insbesondere des Sicherheitsdesigns oder des Quellcodes. Untersuchung der Programmablaufpläne Beschreibung und Priorisierung erkannter sicherheitsrelevanter Designfehler Entwicklung von Fehlerbäumen (attack trees) - vgl. Abb. 3: Fehlerbäume im Threat Modeling Report Generation: Bericht und Vorgehensempfehlungen für erkannte Sicherheitslücken Ziel ist weiterhin das Verständnis der Sicherheitsarchitektur, das Erkennen von Designfehlern und die Minimierung möglicher Angriffspunkte (Attack Surface). Einige Threat Modeling Tools sind Microsoft Threat Analysis & Modeling, Microsoft SDL Threat Modeling Tool und Trike. Die Anzahl an gefundenen Sicherheitslücken durch Threat Modeling ist erheblich. So wurden in einem Projekt der Autoren kritische Sicherheitslücken bereits in der Designphase identifiziert, die aus dem Internet ausnutzbar wären. 5 Static Source Code Analysis Dieses Verfahren analysiert den Quellcode, ohne ihn auszuführen (im Gegensatz zu Dynamic Analysis: Fuzzing). Dabei wird in der Implementierungsphase die Konformität mit der Programmiersprache und den Programmierrichtlinien überprüft - wie ein Parser, der eine lexikalische, syntaktische und semantische Analyse des Programmcodes durchführt. Einige Static Analysis Tools sind Pixy und XDepend. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 4 von 9

6 6 Fuzzing Beim Fuzzing wird die Robustheit der untersuchten Software mit möglichst zielgerichteten Daten überprüft. Damit kann sporadischen Betriebsausfällen und unbeabsichtigten Datenabflüssen - den häufigsten Folgen sicherheitsrelevanter Softwarefehler - entgegengewirkt und proaktiv hohe Umsatzausfälle, Datenschutzprobleme und Reputationsschäden gemindert werden. Dazu werden beim Fuzzing Eingabeschnittstellen identifiziert, an die die Daten gesendet werden. Der Fuzz-Testing Prozess ist in der Verifikationsphase des SDLC angesiedelt - vgl. Abb. 1. Hier sollten Fehler spätestens behoben werden. Denn wenn Fehler erst später gefunden werden also nach dem Release - steigen die Kosten erheblich an siehe Abb. 2. Wurden die Eingabeschnittstellen der Zielanwendung identifiziert und die vom Fuzzer erzeugten Daten an die Zielanwendung geschickt, überwacht ein Monitoring-Tool die Zielanwendung und meldet erkannte Anomalien wie z.b. Programmabstürze, hohe CPU- oder Speicher-Auslastung etc. dem Security Analysten - vgl. Abb. 4. Test System Identification Code Coverage Input Interfaces Proprietary Developed Fuzzer Proprietary Developed Attack Strings Fuzzer Target System Target Application Target Processor ARM, AMD, IBM, Intel, PLC, Sun, Target OS Android, CardOS, JCOB, Nucleus, OS X, QNX, Unix, VxWorks, Windows, S7, Monitor/Debugger Monitor Client Expert Advice: Identification, Rating Proof of Concept: Exploits Report Abbildung 4: Fuzzing-Prozess Im Anschluss erfolgt durch den Security Experten eine Analyse, in der u.a. die Reproduzierbarkeit (Reproducibility), die Ausnutzbarkeit (Exploitability) aus dem Internet und die Schwere der Sicherheitslücke (severity) bestimmt werden. Dies ist der zeitlich aufwändigste Teilprozess des Fuzzing-Prozesses. Für das Fuzzing wird der Quellcode der Zielanwendung nicht benötigt, was die Einbeziehung externer Security Analysten vereinfacht. Je nach Typ lassen sich Fuzzer lokal und remote einsetzen. Zu den lokalen Fuzzern werden z. B. die Kommandozeilen-Fuzzer gezählt. Netzwerkbasierte Anwendungen werden remote gefuzzed. Dazu kommen Fuzzer, die Web-Applikationen und Browser fuzzen. Weiterhin können sog. Dumb und Smart Fuzzer unterschieden werden: Smart-Fuzzer testen programmgesteuert selbständig ein Zielprogramm - oftmals ohne weitere Vorbereitung oder Begleitung durch den Anwender; sie sind häufig lizenzpflichtig. Häufig ermöglichen nur Smart Fuzzer das Eindringen in das Zielprogramm und Austesten des Programmcodes. Dumb-Fuzzer können den Aufbau des Zielprogramms nicht erkennen und sie generieren nur ungesteuerte Eingabedaten. Wegen dieser fehlenden Programmsteuerung setzen sie eine erhebliche Erfahrung beim Anwender voraus; dafür sind sie häufig entgeltfrei aus dem Internet herunterladbar - vgl. Abb. 6. Fuzzing-Frameworks bieten die beste Möglichkeit, der eigenen Zielanwendung angepasste Fuzzer zu entwickeln ähnlich einem Baukasten. Der Entwicklungsaufwand ist jedoch verhältnismäßig hoch zumal für viele Anwendungen bereits fertig nutzbare Fuzzer existieren. Fuzzing Frameworks eignen sich besonders bei neuen proprietären Zielanwendungen wie z. B. neue Netzwerkprotokolle. Kommerzielle Tools zeichnen sich meist durch eine einfach bedienbare graphische Benutzeroberfläche aus. Eine Herausforderung stellt allein die Auswahl der wirkungsvollen Fuzzer aus den über 300 bekannten dar. Der Fuzzing-Erfolg hängt von der richtigen Auswahl in Abhängigkeit vom jeweiligen Zielprogramm ab. Meist wird auch nur der Einsatz von bis zu sieben Fuzzern zu einem sehr guten Ergebnis führen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 5 von 9

7 Die Qualität von Fuzzern hängt im Wesentlichen von der Größe des getesteten Eingaberaums (der unendlich ist) und der Qualität der erzeugten Daten ab. Für den Fuzzing-Erfolg entscheidend ist daher die Fuzz- Datengenerierung; die Wirksamkeit der Fuzzer unterscheidet sich also maßgeblich durch den Algorithmus zur Generierung dieser Eingabedaten für das Zielprogramm. soft check kann dazu einen auf das Zielprogramm hin optimierten eigenen Datensatz einsetzen. Einige Fuzzing Tools sind AxMan, bestorm, Defensics, FileFuzz, FTPStress Fuzzer, Fuzz, Peach, SPIKE, SPIKEfile. Ein weiteres wesentliches Bewertungskriterium für Fuzzer ist die Testabdeckung (Code Coverage): Welcher Anteil des Programmcodes wurde mit den vom Fuzzer eingespeisten Daten abgedeckt? Auch dazu liegen ausgewählte Tools vor. Fixkosten Automatische Fuzzer Manuelle Fuzzer Variable Kosten / Benötigte Expertise Abb. 5: Divergenz Produktkosten - Personalaufwand 7 Beispielhafte Fuzzing-Bereiche Webanwendungen Eine Besonderheit in der Softwaresicherheit stellen Webanwendungen dar. Die Dynamik von Webseiten hat in den letzten Jahren stark zugenommen. Diese Dynamik ermöglicht die Interaktion mit Nutzern und das Bereitstellen von webbasierten Diensten. Für ein Unternehmen bedeutet das i. d. R. eine Vereinfachung von Geschäftsprozessen, erhebliche Kosteneinsparungen und Wettbewerbsvorteile. Selbst Dienste, die wertvolle Unternehmens-interne Daten beinhalten sind aufgrund von veränderten Anforderungen an die Nutzung bzw. an Geschäftsprozesse aus unsicheren Netzen wie dem Internet erreichbar. So bieten ERP Systeme die vor einigen Jahren lediglich aus dem internen Firmennetzwerk erreichbar waren Schnittstellen zum Internet (vgl. SAP Business Server Pages). Dieser Trend birgt ein hohes Sicherheitsrisiko für Unternehmen wie auch Anwender. Webanwendungen haben gegenüber herkömmlicher Software eine wesentlich höhere Angriffsfläche, da eine Vielzahl von Verfahren/Techniken eingesetzt werden (Datenbankinteraktionen, verschiedene Programmier- und Skriptsprachen, Webserver, etc.). Darüber hinaus bietet das HTTP-Protokoll aufgrund der offenen Request/Response - Kommunikation hervorragende Analysemöglichkeiten. Aufgrund der aufgezeigten sensiblen Eigenschaften ist eine umfassende Analyse der Webanwendung auf Design-, Implementierungs- und Konfigurationsfehler von zentraler Bedeutung. Wir empfehlen als umfangreiche Sicherheitsanalyse das Testen der Webanwendung mittels Threat Modeling, Static Analysis und Fuzzing, um äquivalent zu herkömmlicher Software ein größtmögliches Sicherheitsniveau zu gewährleisten. Zusätzlich sollte ein Penetration Test des Web-Servers durchgeführt werden. Das Kompromittieren des Web-Servers bedeutet ebenso das Beeinträchtigen von Vertraulichkeit, Integrität und Authentizität der gesamten Webanwendung und den zugrundeliegenden Daten. So ist es Angreifern möglich, alle Daten der Webanwendung einzusehen, diese zu verändern oder gar eigene Schadsoftware zu installieren. Die aufgezeigten Angriffsmöglichkeiten bewirken i. d. R. langfristige monetäre Schäden und können das Image des Unternehmens erheblich beeinträchtigen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 6 von 9

8 Embedded Systems Eingebettete Systeme sind in ein größeres Produkt integrierte informationsverarbeitende Systeme, die meist nicht direkt wahrgenommen werden. Beispiele sind Router, speicherprogrammierbare Steuerungen und Unterhaltungsgeräte (Spiele) etc. Sicherheitslücken in eingebetteten Systemen haben weitreichende Konsequenzen. Angefangen von Routern, im Stromzähler des Smart Grid bis hin zu Anlagen zur Überwachung und Steuerung in der Elektro- Gas-, Wasserund Ölversorgung eingesetzt werden vgl. stuxnet. Ein eingebettetes System besteht sowohl aus Software als auch Hardware. Durch die Trendwende zum Ubiquitous Computing also der Allgegenwärtigkeit der rechnergestützten Informationsverarbeitung sind die früher autarken Systeme nun miteinander vernetzt. Darüber hinaus verfügen komplexe eingebettete Systeme über ein eigenständiges spezielles Betriebssystem (embedded OS), eine Webschnittstelle oder unterstützen auch Hochsprachen. Dadurch ergeben sich eine Vielzahl an Eingabeschnittstellen, die zum Fuzzing genutzt werden können. Dennoch ist die Identifizierung der Eingabeschnittstellen eine Herausforderung beim Fuzzen eingebetteter Systeme. Nicht jeder Fuzzer versteht jede Eingabeschnittstelle. Der Fuzzer kann dabei als externe Anwendung arbeiten oder als Anwendung auf dem Testsystem. In jedem Fall steht er logisch zwischen dem Testsystem und dem eingebetteten System. Der Embedded-Fuzzer agiert als Bridge. Eine weitere Herausforderung stellt das Monitoring dar. Nicht immer ist es möglich einen Monitor auf dem eingebetteten System zu installieren, es erfolgen auf Request-Telegrammen keine Respone-Telegramme, die Kommunikation ist unidirektional etc. In solchen Szenarien ist nur ein manuelles Monitoring (durch den Experten) möglich; soft check entwickelt auch selbst Fuzzer und generiert spezifische Attack Strings (Testdaten). Embedded Fuzzing eignet sich hervorragend zur Fehleranalyse eingebetteter Systeme. Die meisten heute eingesetzten Verfahren zur Fehleranalyse eingebetteter Systeme erfolgen nur über Fehlersimulationen. Diese sind sehr zeitaufwendig und bergen die Gefahr der Unvollständigkeit. Durch Analog-Fuzzer ist eine Fehlerinjektionen vollständig auf Hardware-Ebene realisierbar. App-Fuzzing Das Sicherheitsniveau von Apps für Android, ios und OSX oder ähnlichen Betriebssystemen für Smart Devices (Smartphones etc.) entspricht häufig nicht den Anwendervorstellungen; Apps ermöglichen im Einzelfall das Auslesen aller Daten (Adressverzeichnis, s, SMS, MMS, Anrufer ) des smart Devices und auch das Abhören und Mitschneiden von Gesprächen und auch den uneingeschränkten Zugriff auf (kostenpflichtige) Onlinedienste - ohne einen PC oder ein Notebook/Laptop zu nutzen. Mit Threat Modeling, Static Analysis und insbesondere Fuzzing der automatischen Erzeugung zielgerichteter Eingaben - können Programmierfehler und Sicherheitslücken identifiziert werden. Fuzzing bietet bei Apps auf jedem Betriebssystem und jedem Smartphone eine sehr kosteneffiziente Möglichkeit um automatisiert Fehler und Sicherheitslücken zu finden die von Angreifern unbemerkt ausgenutzt werden können. Der Fuzzing-Prozess ist bis auf gewisse Einschränkungen durch die Hardware des Smartphones äquivalent zu der bei herkömmlicher Hard- und Software die auf Desktop-Rechnern läuft. Hier muss ggf. eine eigene Monitorlösungen entwickelt werden. 8 Spezielle Anwendungen Entwicklung proprietärer Fuzzer Ist für ein konkretes Target-System ein angemessener Fuzzer nicht verfügbar, entwickelt soft speziellen Fuzzer. check einen Proprietäre Attack Strings Für spezielle Target Systems entwickelt softscheck auch spezifische Attack-Strings auf der Basis selbstentwickelter Testdaten. 9 Ergebnisse Mit Fuzzing und Threat Modeling stehen Tool-gestützte Verfahren zur Detektion von insbesondere sicherheitsrelevanten Softwarefehlern zur Verfügung. So kann Zero-Day-Angriffen, welche eine der zwanzig am häufigsten auftretenden Angriffsformen sind, entgegenwirkt und die Anwendungssicherheit effizient und marktgerecht gesteigert werden. Eine Zusammenfassung der folgenden 6 Ergebnisse: Systematische Suche und auch erfolgreiche (!) Identifizierung der wesentlichen Sicherheitslücken. Und zwar in jeder Software: Individualsoftware, Standardsoftware wie ERP, CRM und auch unternehmensspezifische Ergänzungen, Betriebssysteme, embedded Systems etc. Kein Quellcode wird zum Threat Modeling und Fuzzing benötigt - ausführbare Dateien bzw. das Design reichen völlig aus: Black-Box. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 7 von 9

9 Nur bei Einsatz von Threat Modeling und Fuzzing können Design- und Implementierungsfehler sowie Sicherheitslücken identifiziert werden. Erst bei Einsatz mehrerer Tools einer Klasse (bei Fuzzern z.b. drei bis sieben verschiedene Fuzzer) kann ein Optimum an bisher nicht-erkannten Sicherheitslücken identifiziert werden. Mit ausgewählten Code-Coverage-Tools kann der Erfolg des Fuzzing bewertet werden. soft check kann dazu einen auf das Zielprogramm hin optimierten eigenen Datensatz einsetzen. Bei Softwareherstellern und Endanwendern kann durch die Kombination der erläuterten Verfahren und die Integration in den SDLC ein höheres Return on (Security) Investment erreicht werden. Zudem kann proaktiv die Qualität der Software gesteigert und können Markteinführungszeiten reduziert und Kosten gespart werden. Neben der Kostenersparnis kann die Reputation des Softwareherstellers durch sicherere Software gesteigert werden. Threat-Modeling, Static-Analysis und Fuzzing können für alle Anwendungsarten eingesetzt werden - von Protokollen bis hin zur Individualsoftware und Webapplikationen. Zur Unterstützung bei einer bedarfsgerechteren Auswahl von geeigneten Tools hat soft check eine Taxonomie entwickelt. Method No. Vulnerabilities No. Tools used Architecture Analysis: Threat Modeling Static Source Code Analysis Penetration Testing (8) 4-9 Dynamic Analysis: Fuzzing 27 > 60 Abb. 6: Erfolge bei der Identifizierung von Sicherheitslücken Die Anzahl der mit Fuzzing identifizierten Sicherheitslücken (meist ohne Vorliegen des Quellcode) ist enorm. Dies ist der Grund für die zunehmende Verbreitung und Beliebtheit der Methode. So wurden in einem Projekt des Autors in bereits an Kunden ausgelieferter Standardsoftware 50 kritische (bisher nicht veröffentlichte) Sicherheitslücken identifiziert, die aus dem Internet ausnutzbar waren - vgl. Abb. 7. Dies obwohl beim Hersteller ein umfangreiches Richtlinienwerk auch hinsichtlich der Programmierung sicherer Software existiert. 10 Die erfolgreichsten Verfahren zur Identifizierung von Sicherheitslücken Threat Modeling Sicherheitslücken werden bereits in der Designphase identifiziert. Systematische und Tool-gestützte Verfahren. Sicherheitslücken können priorisiert werden: Aus dem Internet ausnutzbar und/oder geringer Aufwand für den Angreifer. Static Source Code Analysis Tool-gestütztes Code Reading. Fuzzing Black-Box - kein Quellcode erforderlich - ausführbare Dateien reichen völlig aus! Gängige Verfahren - seit mehr als 5 Jahren bei den weltweit größten Softwarehäusern im Einsatz - auch in KMU. soft check unterstützt darüber hinaus mit den weiteren Verfahren: Security by Design: Entwicklung von Sicherheitsarchitekturen für Software Penetration Testing u.a. zur Überprüfung auf bereits bekannte Sicherheitslücken Explorative Testing und manuelles Code Auditing. Und letztlich identifizieren und analysieren wir auch Covert Functions undokumentierte, verdeckte Funktionen u.a. auch auf Smartphones und mobile Devices. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 8 von 9

10 Weiterführende Literatur Beyond Security (Ed.): Beyond Security (Ed.): Codenomicon (Ed.): Black Box Testing. McLean Beyond Security introduces 80/20 rule for 'smart' blackbox testing in new version of bestorm. McLean Buzz on Fuzzing. Cupertino Fox, D.: Fuzzing. DuD 30, 2006, 12, Peter, M.; Karen, S.; Romanosky, S.: Complete Guide to Complete Guide to the Common Vulnerability Scoring System Version 2.0 Gaithersburg Pohl, H.: Zur Technik der heimlichen Online-Durchsuchung. DuD 31, 9, Pohl, H.: Kostengünstige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing. KES Zeitschrift für Informationssicherheit, Heft 2 / 2010 Rathaus, N.; Evron, G.: Open Source Fuzzing Tools. Amsterdam Doyle, F.; Fly, R.; Jenik, R.; Manor, D. Miller, C.; Naveh, Y.: Open Source Fuzzing Tools. Amsterdam 2007 Sutton, M,; Greene, A.; Amini, P.: Fuzzing - Brute Force Vulnerability Discovery. New York Takanen, A.; Demott, J.D.; Miller, C.: Fuzzing For Software Security Testing And Quality Assurance. Norwood August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 9 von 9

11 Prof. Dr. Hartmut Pohl Geschäftsführender Gesellschafter soft check GmbH Köln www. soft check.com Büro: Bonner Str Sankt Augustin Tel.: +49 (2241) Mobil: +49 (172) Fax: +49 (2241) check.com

Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing

Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat und Fuzzing Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg Mit dem Einsatz von Tools zum Threat (Designphase) und Fuzzing

Mehr

Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken

Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken White Paper Software-Sicherheit Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken Darstellung der 3 Verfahren Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing

Mehr

Identifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing

Identifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing Fuzzelarbeit Identifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing Oft genug finden Anwender und Hacker durch unpassende Eingaben mehr oder minder zielgerichtet Schwachstellen

Mehr

Identifizierung bisher nicht erkannter Sicherheitslücken

Identifizierung bisher nicht erkannter Sicherheitslücken Software-Sicherheit Identifizierung bisher nicht erkannter Sicherheitslücken und Fehler in Standard- und Individualsoftware sowie Hardware mit den Verfahren Threat Modeling, Static Source Code Analysis

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN. Protection Service for Business

SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN. Protection Service for Business SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN Protection Service for Business WIR LEBEN IN EINER MOBILEN WELT WLAN Fußgänger Heute verwenden wir mehr Geräte und nutzen mehr Verbindungen

Mehr

Heimliche Online-Durchsuchung

Heimliche Online-Durchsuchung Heimliche Online-Durchsuchung Anlass, Technik und Folgen 24. September 2009 EDV-Gerichtstag Saarbrücken Prof. Dr. Hartmut Pohl Online-Durchsuchung Remote Forensic Software: verdeckte Suche nach verfahrensrelevanten

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Bewegliche Ziele Entwicklungsumgebungen für Pocket PCs und Smartphones

Bewegliche Ziele Entwicklungsumgebungen für Pocket PCs und Smartphones Seite 1 von 5 Bewegliche Ziele Entwicklungsumgebungen für Pocket PCs und Smartphones von Robert Panther Mobile Devices auf Basis von Windows CE haben sich inzwischen fest am Markt etabliert. Nach dem Siegeszug

Mehr

Windows 8 Lizenzierung in Szenarien

Windows 8 Lizenzierung in Szenarien Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Bedrohungsmodellierung (Threat Modeling) in der Softwareentwicklung

Bedrohungsmodellierung (Threat Modeling) in der Softwareentwicklung Bedrohungsmodellierung (Threat Modeling) in der Softwareentwicklung Fabian Schwab, B.Sc.; Alexander Findeisen; Peter Sakal, B.Sc.; Prof. Dr. Hartmut Pohl Informationssicherheit, Fachbereich Informatik

Mehr

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.1.2018 Wintersemester 2017/2018 h_da, Lehrbeauftragter Teil 2: Datensicherheit Themenübersicht der Vorlesung 1. Einführung / Grundlagen der Datensicherheit / Authentifizierung

Mehr

Sicherheitsaspekte der Entwicklung eines Smart Meter Gateway. Armin Lunkeit 16. Mai 2013

Sicherheitsaspekte der Entwicklung eines Smart Meter Gateway. Armin Lunkeit 16. Mai 2013 Sicherheitsaspekte der Entwicklung eines Smart Meter Gateway Armin Lunkeit 16. Mai 2013 Details Sicherheitsziele des Smart Meter Gateway Threat Modeling am Beispiel des SMGW Dynamic Analysis: Fuzzing Aktuelle

Mehr

Software Security. Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl

Software Security. Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl Software Security Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl Software Security Threat Modeling, Static Analysis, Fuzzing: Identifying undetected Vulnerabilities Prof. Dr. Hartmut Pohl

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Think Mobile Effiziente Entwicklungsstrategien im GIS. Kai Hoffmann, BTC AG

Think Mobile Effiziente Entwicklungsstrategien im GIS. Kai Hoffmann, BTC AG Think Mobile Effiziente Entwicklungsstrategien im GIS Kai Hoffmann, BTC AG Mobile Endgeräte Was ist zu beachten? In dieser Betrachtung Smartphone Tablet Unterschiedliche Hardwareausstattung Bildschirmgröße

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I)

Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I) Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I) Historisch Kulturelle Informationsverarbeitung Hauptseminar: KLIPS 2.0 Dozent: Prof. Dr. Thaller Referent:

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Was ist Application Lifecycle Management?

Was ist Application Lifecycle Management? Was ist Application Lifecycle Management? Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Was ist Application Lifecycle Management? Seite 2 von 7

Mehr

Rapid in-depth Analysis für Telematikanwendungen im Gesundheitswesen

Rapid in-depth Analysis für Telematikanwendungen im Gesundheitswesen Rapid in-depth Analysis für Telematikanwendungen im Gesundheitswesen Identifizierung nicht erkannter Sicherheitslücken mit Threat Modeling und Fuzzing Fabian Schwab, B.Sc.; Jörg Lübbert, B.Sc.; Peter Sakal,

Mehr

Architekturen mobiler Multi Plattform Apps

Architekturen mobiler Multi Plattform Apps Architekturen mobiler Multi Plattform Apps Wolfgang Maison & Felix Willnecker 06. Dezember 2011 1 Warum Multi- Plattform- Architekturen? Markt. Apps für Smartphones gehören zum Standardinventar jeder guten

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements Pallas GmbH und Secunia präsentieren Compliance und Nutzen eines automatisierten Patch Managements Software-Schwachstellen Fehler im Anwendungscode: Sicherheitsrisiken Funktionalität Eine Schwachstelle,

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Jörg Neumann Acando GmbH

Jörg Neumann Acando GmbH Jörg Neumann Acando GmbH Jörg Neumann Principal Consultant bei der Acando GmbH MVP Windows Platform Development Beratung, Training, Coaching Buchautor, Speaker Mail: Joerg.Neumann@Acando.com Blog: www.headwriteline.blogspot.com

Mehr

Diplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008

Diplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008 Konzeption und Implementierung einer automatisierten Testumgebung, 10. Dezember 2008 1 Gliederung Einleitung Softwaretests Beispiel Konzeption Zusammenfassung 2 Einleitung Komplexität von Softwaresystemen

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Prototypvortrag. Exploiting Cloud and Infrastructure as a Service (IaaS) Solutions for Online Game Service Provisioning. Projektseminar WS 2009/10

Prototypvortrag. Exploiting Cloud and Infrastructure as a Service (IaaS) Solutions for Online Game Service Provisioning. Projektseminar WS 2009/10 Prototypvortrag Exploiting Cloud and Infrastructure as a Service (IaaS) Solutions for Online Game Service Provisioning Projektseminar WS 2009/10 Eugen Fot, Sebastian Kenter, Michael Surmann AG Parallele

Mehr

EoL-Testautomation 2.0. Technische Beschreibung. DI Hans-Peter Haberlandner. Blumatix GmbH

EoL-Testautomation 2.0. Technische Beschreibung. DI Hans-Peter Haberlandner. Blumatix GmbH EoL-Testautomation 2.0 Technische Beschreibung DI Hans-Peter Haberlandner Blumatix GmbH EoL-Testautomation 2.0 Technische Beschreibung Die Herausforderung Die Software spielt im Bereich der Testautomation

Mehr

white sheep GmbH Unternehmensberatung Schnittstellen Framework

white sheep GmbH Unternehmensberatung Schnittstellen Framework Schnittstellen Framework Mit dem Schnittstellen Framework können Sie einerseits Ihre Schnittstellen automatisch überwachen. Eine manuelle Kontrolle wird überflüssig, da das Schnittstellen Framework ihre

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Konzept zur Migration Joomla auf Version 3.x

Konzept zur Migration Joomla auf Version 3.x PUBLIK Internetservice, Am Halbach 10, 45478 Mülheim Michael Gatz-Kippert Am Halbach 10 45478 Mülheim an der Ruhr Tel: +49 208 74049876 Fax: +49 208 74049821 http://www.publik.ruhr Samstag, 2. August 2014

Mehr

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

Application Lifecycle Management als strategischer Innovationsmotor für den CIO Application Lifecycle Management als strategischer Innovationsmotor für den CIO Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Application Lifecycle

Mehr

Wussten Sie, dass über ein Drittel der österreichischen Bevölkerung das Handy zur

Wussten Sie, dass über ein Drittel der österreichischen Bevölkerung das Handy zur APP-SOLUT notwendig? Wussten Sie, dass über ein Drittel der österreichischen Bevölkerung das Handy zur mobilen Internetnutzung verwendet? Wie viele Besucher Ihre Website mit welchem Gerät schon jetzt von

Mehr

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS Analyse zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com Januar 2010 Inhalt Summary und Key Findings

Mehr

Cyber Security in der Stromversorgung

Cyber Security in der Stromversorgung 12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

AIRWATCH. Mobile Device MGMT

AIRWATCH. Mobile Device MGMT AIRWATCH Mobile Device MGMT AIRWATCH Was ist Mobile Device Mgmt. Welche Methoden von Device Mgmt sind möglich Airwatch SAAS / on Premise Airwatch Konfiguration von Usern und Sites Airwatch Konfiguration

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2009: Vergleich Fehlerbaum und Angriffsbaum 7.1 Fehlerbaum Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

SAP Mobile Platform MÜNSTER 10.04.2013. best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77

SAP Mobile Platform MÜNSTER 10.04.2013. best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77 MÜNSTER 10.04.2013 SAP Mobile Platform best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77 E info@bpc.ag W www.bpc.ag Seite 1 18.04.2013 Agenda Einleitung

Mehr

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS Research Note zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com November 2009 Inhalt 1 EINFÜHRUNG

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Funktionale Sicherheit Testing unter

Funktionale Sicherheit Testing unter Funktionale Sicherheit Testing unter den Bedingungen der Safety Integrity Levels Präsentation auf dem Neu-Ulmer Test-Engineering Day Sebastian Stiemke, MissingLinkElectronics, Neu-Ulm 1 Inhalt Idee hinter

Mehr

Mobile Security im DB Konzern Sicher in eine mobile Zukunft

Mobile Security im DB Konzern Sicher in eine mobile Zukunft Mobile Security im DB Konzern Sicher in eine mobile Zukunft DB Mobility Logistics AG Dr. Matthias Drodt ITK-Sicherheitsmanagement DB Frankfurt am Main, 08.11.2013 Herausforderungen Die Landschaft der mobilen

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

Hyper-V Grundlagen der Virtualisierung

Hyper-V Grundlagen der Virtualisierung Grundlagen der Virtualisierung Was ist Virtualisierung? Eine Software-Technik, die mehrere Betriebssysteme gleichzeitig auf dem Rechner unabhängig voneinander betreibt. Eine Software-Technik, die Software

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Abbildung 1: Tool-Qualification-Kits für Testwell CTC++ Test Coverage Analyser

Abbildung 1: Tool-Qualification-Kits für Testwell CTC++ Test Coverage Analyser Qualification-Kit für Testwell CTC++ In der sicherheitskritischen Softwareentwicklung müssen die im Projekt eingesetzten Werkzeuge zunächst klassifiziert werden (Tool Classification). Diese Klassifizierung

Mehr

Blog-Artikel Business Usability Lessons Learned From Consumer UI? von A.T.Erbrich, Geschäftsführer A.T.E Software GmbH

Blog-Artikel Business Usability Lessons Learned From Consumer UI? von A.T.Erbrich, Geschäftsführer A.T.E Software GmbH Blog-Artikel Business Usability Lessons Learned From Consumer UI? von A.T.Erbrich, Geschäftsführer A.T.E Software GmbH Business Usability - Lessons Learned From Consumer UI? Haben Sie sich nicht auch schon

Mehr

Neue Funktionen in Innovator 11 R5

Neue Funktionen in Innovator 11 R5 Neue Funktionen in Innovator 11 R5 Innovator for Enterprise Architects, Java Harvester und Prüfassistent 12.11.2013 Agenda 1 2 3 Einführung Was ist neu in Innovator 11 R5? Szenario Enterprise Architektur

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Service Virtualisierung

Service Virtualisierung Service Virtualisierung So bekommen Sie Ihre Testumgebung in den Griff! Thomas Bucsics ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Sicherheit von Open Source Software

Sicherheit von Open Source Software Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source

Mehr

Effizienter Staat. Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr. 50 10117 Berlin

Effizienter Staat. Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr. 50 10117 Berlin Effizienter Staat Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr. 50 10117 Berlin smtp: C.Herrmann@science computing.de http://www.science computing.de Wir über uns gegründet

Mehr

VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN

VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN Fakultät Informatik Institut für Systemarchitektur, Professur Betriebssysteme VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN Henning Schild Dresden, 5.2.2009 Definition Einführung von Abstraktionsschichten

Mehr

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel Hier Kundenlogo einfügen NICHT SVA-Logo IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel IT Desaster Recovery Sind Ihre Daten klassifiziert und ist die Wiederherstellung

Mehr

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

Xamarin Applikationen Showcase aus der Praxis

Xamarin Applikationen Showcase aus der Praxis Xamarin Applikationen Showcase aus der Praxis Mark Allibone @mallibone Noser Engineering AG 2014, Alle Rechte vorbehalten. Erfahrungen Erfahrung ist der beste Lehrmeister. Nur das Schulgeld ist teuer.

Mehr

Fuzzing. Während das Fuzzing in der traditionellen. Software Testmethoden. Fuzzing ist eine Testmethode

Fuzzing. Während das Fuzzing in der traditionellen. Software Testmethoden. Fuzzing ist eine Testmethode Software Testmethoden Fuzzing Fuzzing ist eine Testmethode zur Aufdeckung von Problemen und Schwachstellen in Softwareapplikationen. Der Einsatz dieser Testmethode bietet vor allem Hersteller von closedsource

Mehr

Software-Entwicklung

Software-Entwicklung Software-Entwicklung SEP 96 Geschichte der Programmierung Aufgaben von, Anforderungen an Programme mit der Zeit verändert 1 Programmierung über Lochkarten z.b. für Rechenaufgaben 2 maschinennahe Programmierung

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

COMOS/SAP-Schnittstelle

COMOS/SAP-Schnittstelle COMOS/SAP-Schnittstelle White Paper Optimierter Datenaustausch zwischen COMOS und SAP Juni 2010 Zusammenfassung Ein konsistenter Datenaustausch zwischen Engineering-Anwendungen und ERP-Systemen ist heutzutage

Mehr

http://www.hoststar.ch

http://www.hoststar.ch Kapitel 16 Seite 1 Die eigene Homepage Im Internet finden Sie viele Anbieter, die Ihnen rasch und zuverlässig einen Webhost für die eigene Homepage einrichten. Je nach Speicherplatz und Technologie (E-Mail,

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen...

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... PRETON TECHNOLOGY Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... 4 System Architekturen:... 5 Citrix and

Mehr

Die Softwareentwicklungsphasen!

Die Softwareentwicklungsphasen! Softwareentwicklung Die Softwareentwicklungsphasen! Die Bezeichnungen der Phasen sind keine speziellen Begriffe der Informatik, sondern den allgemeinen Prinzipien zur Produktion integrierter Systeme entliehen.

Mehr

UNTERNEHMERISCHES WISSEN. ebusiness Lösung - Groupware Systeme. Zusammenarbeit über zeitliche und räumliche Distanz unterstützen

UNTERNEHMERISCHES WISSEN. ebusiness Lösung - Groupware Systeme. Zusammenarbeit über zeitliche und räumliche Distanz unterstützen UNTERNEHMERISCHES WISSEN ebusiness Lösung - Groupware Systeme Zusammenarbeit über zeitliche und räumliche Distanz unterstützen ebusiness Lösung - Groupware Systeme Problemstellung & Einsatzbereiche im

Mehr

Herausforderungen des Enterprise Endpoint Managements

Herausforderungen des Enterprise Endpoint Managements Herausforderungen des Enterprise Endpoint Managements PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Herausforderungen 09.10.2013 Herausforderungen

Mehr

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012 ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen Experience nr.52 märz 2012 RequIREMENTs EngINEERINg Ins Schwarze treffen Ins SchwARze treffen Requirements Engineering: die Grundlagen

Mehr

Erfolg ist programmierbar.

Erfolg ist programmierbar. 45789545697749812346568958565124578954569774981 46568958565124578954569774981234656895856124578 45697749812346568958565124578954569774981234656 58565124578954569774981234656895856124578954569 49812346568958565124578954569774981234656895856

Mehr

System Center Essentials 2010

System Center Essentials 2010 System Center Essentials 2010 Microsoft System Center Essentials 2010 (Essentials 2010) ist eine neue Verwaltungslösung aus der System Center-Produktfamilie, die speziell für mittelständische Unternehmen

Mehr

Integration mit Service Repositories zur SOA Governance

Integration mit Service Repositories zur SOA Governance Integration mit Service Repositories zur SOA Governance Nürnberg, 10.11.2009 I N H A L T 1. SOA Governance 2. Service Repository 3. Modelle und Service Repository 4. Modell-Driven SOA I N H A L T 1. SOA

Mehr

Erfolg ist programmierbar.

Erfolg ist programmierbar. 4578954569774981234656895856512457895456977498 3465689585651245789545697749812346568958561245 9545697749812346568958565124578954569774981234 6895856512457895456977498123465689585612457895 6977498123465689585651245789545697749812346568

Mehr

Was versteht man unter Softwaredokumentation?

Was versteht man unter Softwaredokumentation? Was versteht man unter? Mit bezeichnet man die Dokumentation von Computer-Software. Sie erklärt für Anwender, Benutzer und Entwickler in unterschiedlichen Rollen, wie die Software funktioniert, was sie

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 Software Testing Automatisiert Manuell 100% 70% 1 Überwiegender Teil der Testing Tools fokusiert auf automatisiertes Testen Microsoft

Mehr

Hmmm.. Hmmm.. Hmmm.. Genau!! Office in der Cloud Realität oder Zukunft? Dumme Frage! ist doch schon lange Realität!. aber auch wirklich für alle sinnvoll und brauchbar? Cloud ist nicht gleich Cloud!

Mehr

TM1 mobile intelligence

TM1 mobile intelligence TM1 mobile intelligence TM1mobile ist eine hochportable, mobile Plattform State of the Art, realisiert als Mobile BI-Plug-In für IBM Cognos TM1 und konzipiert als Framework für die Realisierung anspruchsvoller

Mehr

Der Weg zu einem sicheren SAP System

Der Weg zu einem sicheren SAP System Virtual Forge GmbH Der Weg zu einem sicheren SAP System Patrick Boch SAP Sicherheit Picture of Rolls Royce Oldtimer Agenda IST-Situation analysieren Sicherheitsanforderungen definieren Systemlandschaft

Mehr

PHP Kurs Online Kurs Analysten Programmierer Web PHP

PHP Kurs Online Kurs Analysten Programmierer Web PHP PHP Kurs Online Kurs Analysten Programmierer Web PHP Akademie Domani info@akademiedomani.de Allgemeines Programm des Kurses PHP Modul 1 - Einführung und Installation PHP-Umgebung Erste Lerneinheit Introduzione

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr