Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken mit Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing
|
|
- Klara Dieter
- vor 8 Jahren
- Abrufe
Transkript
1 Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken mit Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing Prof. Dr. Hartmut Pohl Geschäftsführender Gesellschafter softscheck GmbH Köln www. softscheck.com
2 Ihre Strategie ist falsch! Sicherheit ist in allen Bereichen der Informationstechnik wichtig allerdings werden die vielen Angriffe betrachtet und nicht die vergleichsweise wenigen Sicherheitslücken (Vulnerabilities)! Denn: Eine einzige Vulnerability kann von einer ganzen Reihe von Angriffen ausgenutzt werden! Darüber hinaus ist gegen Angriffe, die bisher nicht-erkannte (!) also unveröffentlichte - Vulnerabilities ausnutzen, kein Kraut gewachsen, weil diese Angriffe gar nicht erkannt werden können. Diese Angriffe können auch nicht gesucht werden wonach sollte man auch suchen? Keiner kennt den Angriffspunkt, die Sicherheitslücke! Diese Angriffe sind also stealth. Ergebnis: Werden die Vulnerabilities identifiziert (und behoben) können Angriffe nicht mehr erfolgreich sein. In diesem White Paper werden die 3 erfolgreichen Verfahren zur Identifizierung bisher nicht-erkannter Vulnerabilities dargestellt: Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing. Inhalt 1 Management Summary Keine Software ohne Fehler? Software-Entwicklungszyklus Threat Modeling Static Source Code Analysis Fuzzing Beispielhafte Fuzzing-Bereiche... 6 Webanwendungen... 6 Embedded Systems... 7 App-Fuzzing Spezielle Anwendungen... 7 Entwicklung proprietärer Fuzzer... 7 Proprietäre Attack Strings Ergebnisse Die erfolgreichsten Verfahren zur Identifizierung von Sicherheitslücken... 8 Threat Modeling... 8 Static Source Code Analysis... 8 Fuzzing... 8 Weiterführende Literatur August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 1 von 9
3 1 Management Summary Mit dem Einsatz von Tools zum Threat Modeling (Design Phase), Static Analysis (Implementation Phase) und Fuzzing (Verifikation Phase) werden auch bisher nicht veröffentlichte Sicherheitslücken identifiziert. Der Einsatz dieser beiden Verfahren erfordert in frühen Entwicklungsphasen einen weitaus geringeren Aufwand, als wenn die Software schon ausgeliefert ist (Release Phase) und erst dann korrigiert wird - vgl. Abb. 1. Zudem lassen sich diese Verfahren für viele Anwendungsbereiche einsetzen: Anwendungssoftware (Webapplications, ERM, CRM, SCM, ERP, E-Business, CIM etc.) und Netzwerk-Protokolle, Embedded Systems (auch die Hardware) und Industriesteuerungssoftware (auch proprietärer Systeme) sowie Apps und Applets für smart and mobile Devices etc. Der Einsatz herkömmlicher Verfahren zur Behebung von Fehlern und insbesondere nicht veröffentlichten Sicherheitslücken ist dagegen sehr kostenaufwändig - viele Sicherheitslücken werden erst nach der Auslieferung der Software an die Kunden - z.t. auch von Dritten - erkannt. Den exponentiell steigenden Aufwand zur Behebung (Patchen) von Sicherheitslücken zeigt Abb. 2. Tatsächlich steigt der Patchaufwand nach einigen Untersuchung - u.a. des National Institute of Standards and Technology (NIST) - von der Designphase zur Release Phase auf das 100-fache. Aus eigenen Untersuchungen wissen wir, dass der Aufwand zur Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing sehr kostengünstig durchgeführt werden kann auch wenn sich die Software schon auf dem Markt befindet. Sicherheitslücken werden wie folgt erkannt: Systematische Suche nach Sicherheitslücken mit den Verfahren Threat Modeling, Static Analysis und Fuzzing. Identifizieren der wesentlichen, schwerwiegendsten, (remote) aus dem Internet leicht ausnutzbaren Sicherheitslücken und Bewertung der übrigen Sicherheitslücken (Priorisrung). Die entscheidenden Faktoren für diese drei Verfahren sind: Fuzzing benötigt zum Erfolg keinen Quellcode (Blackbox-Test): Die Software wird während Ihrer Ausführung untersucht. Hierzu kann die Software in einer Virtuellen Maschine oder auf einem anderen Testsystem ausgeführt werden. Wir empfehlen den sich Einsatz der drei Verfahren Threat Modeling, Static analysis und Dynamic Analysis: Fuzzing, weil sie sich ergänzen. Wir empfehlen den Einsatz von 3 7 Fuzzing Tools, weil nur ein Bündel von Fuzzern eine hinreichende Menge kritischer Sicherheitslücken identifiziert. Ist für ein konkretes Target System ein angemessener Fuzzer nicht verfügbar, entwickelt soft check spezielle Fuzzer. Für spezielle Target Systems entwickelt soft check auch spezifische Attack Strings auf der Basis selbst entwickelter Testdaten. Fuzzing wird erfolgreich auch in den Bereichen Webanwendungen, App eingesetzt sowie in Hardware. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt den Einsatz von Threat Modeling, Static Analysis und Fuzzing. Training Requirements Design Implementation Verification Release Response Threat Modeling: Security Architecture, Abuse Cases, Risk Analysis, Attack Surface Minimalisation Static Analysis: Souce Code Analysis (white box) Fuzzing Black Box & White Box Abb. 1: Lebenszyklus der Entwicklung sicherer Software 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 2 von 9
4 2 Keine Software ohne Fehler? Software kann tatsächlich nicht fehlerfrei erstellt werden. Dies macht eine Überprüfung der Software erforderlich, wobei eine enge Bindung zur Qualitätssicherung besteht. Manuelle Überprüfungen sind angesichts des meist großen Code-Umfangs nicht praktikabel. In der Welt des traditionellen Software Testing bleiben Sicherheitslücken in der Design Phase meist unberücksichtigt und in der Implementation Phase werden (häufig ausgezeichnete) Programmierhandbücher eingesetzt. Ziele von Tests sind allein die spezifizierten Funktionalitäten. Nicht-funktionale Tests werden häufig vernachlässigt. Mit den Verfahren Threat Modeling, Static Analysis und Fuzzing können Sicherheitslücken erkannt werden, die beispielsweise die folgenden Angriffe ermöglichen: Verletzung der Zugriffsregeln Formatstring-Angriffe SQL Injections Buffer Overflows. 3 Software-Entwicklungszyklus Software wird unter Einsatz von Methoden hergestellt, die Sicherheitslücken nicht vollständig vermeiden (können) menschliche Fehler können nicht ausgeschlossen werden; selbst wenn Programmierrichtlinien vorhanden sind, werden sie nicht (vollständig) eingehalten und nicht (vollständig) kontrolliert. Dabei existieren wirkungsvolle Tools weit über klassische Verfahren des Testing hinaus, die Sicherheitslücken bereits in der Designphase identifizieren (Threat Modeling) oder spätestens in der Verifikationsphase (Fuzzing und Penetration Testing). Beim Threat Modeling werden Design-Fehler erkannt, indem z.b. Datenflussdiagramme und Angriffsbäume ausgewertet werden. Beim Fuzzing werden zur Identifizierung bisher nicht-erkannter Sicherheitslücken die Eingabeschnittstellen (Attack Surface) gerade mit solchen Eingaben attackiert, die nicht spezifiziert sind, wodurch ein Fehlverhalten der Software provoziert wird. Costs 35 x Application in the Field 15 x 6 x 1 x Threat Modeling Static Analysis Fuzzing Requirements / Design Implementation Verification / Testing Release Phase Abb. 2: Kosten der Behebung von Sicherheitslücken in den Software-Entwicklungsphasen Allzu viele Sicherheitslücken werden aber nach wie vor erst dann identifiziert, wenn Software an den Kunden ausgeliefert ist. Im Folgenden werden die Methoden zur Identifizierung von Sicherheitslücken dargestellt und einige bekannte Tools genannt. Die Kosten zur Beseitigung von Softwarefehlern, sind abhängig von deren zeitlicher Entdeckung im Software Development Lifecycle (SDLC). Werden Fehler erst nach dem Release beim Endkunden - entdeckt, steigen die Kosten je nach Untersuchung - um den Faktor 30 bis vgl. Abb. 2. Die Qualität von Softwareprodukten ist häufig auf mangelnde Ressourcen in den entwickelnden Unternehmen zurückzuführen. Zudem werden vom Markt sehr kurze Produktlebenszyklen vorgegeben. Dabei lassen sich Threat Modeling, Static Analysis und Fuzzing als marktgerechte Methoden zur Entdeckung von Softwarefehlern nutzen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 3 von 9
5 Untersuchungen in Projekten von soft check zeigen, dass im Vergleich zu traditionellen Methoden dazu nur wenige Ressourcen benötigt werden. Im Rahmen des vom Bundesministerium für Bildung und Forschung an der Hochschule Bonn-Rhein-Sieg geförderten Projektes (FKZ 01 IS 09030) soft check werden über 100 weltweit verfügbare Tools zum Threat Modeling und Fuzzing analysiert und bewertet. 4 Threat Modeling Dieses proaktive und heuristische Verfahren unterstützt die methodische Entwicklung eines vertrauenswürdigen Systementwurfs oder einer Architektur in der Design Phase - sodass dies am kosteneffizientesten ist. Gleichermaßen lassen sich bereits bestehende Systementwürfe und Architekturen verifizieren, mit dem Ziel der Identifizierung, Bewertung und Korrektur von Sicherheitslücken. Threat #1 Decrypt Company Secrets and 1.1 Obtain Encrypted File 1.2 Obtain Password/Key Bribe the Sysadmin Hack the Database Brute Force Password/Key Use Keylogger Vorgehen beim Threat Modeling Abb. 3: Fehlerbaum im Threat Modeling Analyse der Dokumentation (falls vorhanden) insbesondere des Sicherheitsdesigns oder des Quellcodes. Untersuchung der Programmablaufpläne Beschreibung und Priorisierung erkannter sicherheitsrelevanter Designfehler Entwicklung von Fehlerbäumen (attack trees) - vgl. Abb. 3: Fehlerbäume im Threat Modeling Report Generation: Bericht und Vorgehensempfehlungen für erkannte Sicherheitslücken Ziel ist weiterhin das Verständnis der Sicherheitsarchitektur, das Erkennen von Designfehlern und die Minimierung möglicher Angriffspunkte (Attack Surface). Einige Threat Modeling Tools sind Microsoft Threat Analysis & Modeling, Microsoft SDL Threat Modeling Tool und Trike. Die Anzahl an gefundenen Sicherheitslücken durch Threat Modeling ist erheblich. So wurden in einem Projekt der Autoren kritische Sicherheitslücken bereits in der Designphase identifiziert, die aus dem Internet ausnutzbar wären. 5 Static Source Code Analysis Dieses Verfahren analysiert den Quellcode, ohne ihn auszuführen (im Gegensatz zu Dynamic Analysis: Fuzzing). Dabei wird in der Implementierungsphase die Konformität mit der Programmiersprache und den Programmierrichtlinien überprüft - wie ein Parser, der eine lexikalische, syntaktische und semantische Analyse des Programmcodes durchführt. Einige Static Analysis Tools sind Pixy und XDepend. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 4 von 9
6 6 Fuzzing Beim Fuzzing wird die Robustheit der untersuchten Software mit möglichst zielgerichteten Daten überprüft. Damit kann sporadischen Betriebsausfällen und unbeabsichtigten Datenabflüssen - den häufigsten Folgen sicherheitsrelevanter Softwarefehler - entgegengewirkt und proaktiv hohe Umsatzausfälle, Datenschutzprobleme und Reputationsschäden gemindert werden. Dazu werden beim Fuzzing Eingabeschnittstellen identifiziert, an die die Daten gesendet werden. Der Fuzz-Testing Prozess ist in der Verifikationsphase des SDLC angesiedelt - vgl. Abb. 1. Hier sollten Fehler spätestens behoben werden. Denn wenn Fehler erst später gefunden werden also nach dem Release - steigen die Kosten erheblich an siehe Abb. 2. Wurden die Eingabeschnittstellen der Zielanwendung identifiziert und die vom Fuzzer erzeugten Daten an die Zielanwendung geschickt, überwacht ein Monitoring-Tool die Zielanwendung und meldet erkannte Anomalien wie z.b. Programmabstürze, hohe CPU- oder Speicher-Auslastung etc. dem Security Analysten - vgl. Abb. 4. Test System Identification Code Coverage Input Interfaces Proprietary Developed Fuzzer Proprietary Developed Attack Strings Fuzzer Target System Target Application Target Processor ARM, AMD, IBM, Intel, PLC, Sun, Target OS Android, CardOS, JCOB, Nucleus, OS X, QNX, Unix, VxWorks, Windows, S7, Monitor/Debugger Monitor Client Expert Advice: Identification, Rating Proof of Concept: Exploits Report Abbildung 4: Fuzzing-Prozess Im Anschluss erfolgt durch den Security Experten eine Analyse, in der u.a. die Reproduzierbarkeit (Reproducibility), die Ausnutzbarkeit (Exploitability) aus dem Internet und die Schwere der Sicherheitslücke (severity) bestimmt werden. Dies ist der zeitlich aufwändigste Teilprozess des Fuzzing-Prozesses. Für das Fuzzing wird der Quellcode der Zielanwendung nicht benötigt, was die Einbeziehung externer Security Analysten vereinfacht. Je nach Typ lassen sich Fuzzer lokal und remote einsetzen. Zu den lokalen Fuzzern werden z. B. die Kommandozeilen-Fuzzer gezählt. Netzwerkbasierte Anwendungen werden remote gefuzzed. Dazu kommen Fuzzer, die Web-Applikationen und Browser fuzzen. Weiterhin können sog. Dumb und Smart Fuzzer unterschieden werden: Smart-Fuzzer testen programmgesteuert selbständig ein Zielprogramm - oftmals ohne weitere Vorbereitung oder Begleitung durch den Anwender; sie sind häufig lizenzpflichtig. Häufig ermöglichen nur Smart Fuzzer das Eindringen in das Zielprogramm und Austesten des Programmcodes. Dumb-Fuzzer können den Aufbau des Zielprogramms nicht erkennen und sie generieren nur ungesteuerte Eingabedaten. Wegen dieser fehlenden Programmsteuerung setzen sie eine erhebliche Erfahrung beim Anwender voraus; dafür sind sie häufig entgeltfrei aus dem Internet herunterladbar - vgl. Abb. 6. Fuzzing-Frameworks bieten die beste Möglichkeit, der eigenen Zielanwendung angepasste Fuzzer zu entwickeln ähnlich einem Baukasten. Der Entwicklungsaufwand ist jedoch verhältnismäßig hoch zumal für viele Anwendungen bereits fertig nutzbare Fuzzer existieren. Fuzzing Frameworks eignen sich besonders bei neuen proprietären Zielanwendungen wie z. B. neue Netzwerkprotokolle. Kommerzielle Tools zeichnen sich meist durch eine einfach bedienbare graphische Benutzeroberfläche aus. Eine Herausforderung stellt allein die Auswahl der wirkungsvollen Fuzzer aus den über 300 bekannten dar. Der Fuzzing-Erfolg hängt von der richtigen Auswahl in Abhängigkeit vom jeweiligen Zielprogramm ab. Meist wird auch nur der Einsatz von bis zu sieben Fuzzern zu einem sehr guten Ergebnis führen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 5 von 9
7 Die Qualität von Fuzzern hängt im Wesentlichen von der Größe des getesteten Eingaberaums (der unendlich ist) und der Qualität der erzeugten Daten ab. Für den Fuzzing-Erfolg entscheidend ist daher die Fuzz- Datengenerierung; die Wirksamkeit der Fuzzer unterscheidet sich also maßgeblich durch den Algorithmus zur Generierung dieser Eingabedaten für das Zielprogramm. soft check kann dazu einen auf das Zielprogramm hin optimierten eigenen Datensatz einsetzen. Einige Fuzzing Tools sind AxMan, bestorm, Defensics, FileFuzz, FTPStress Fuzzer, Fuzz, Peach, SPIKE, SPIKEfile. Ein weiteres wesentliches Bewertungskriterium für Fuzzer ist die Testabdeckung (Code Coverage): Welcher Anteil des Programmcodes wurde mit den vom Fuzzer eingespeisten Daten abgedeckt? Auch dazu liegen ausgewählte Tools vor. Fixkosten Automatische Fuzzer Manuelle Fuzzer Variable Kosten / Benötigte Expertise Abb. 5: Divergenz Produktkosten - Personalaufwand 7 Beispielhafte Fuzzing-Bereiche Webanwendungen Eine Besonderheit in der Softwaresicherheit stellen Webanwendungen dar. Die Dynamik von Webseiten hat in den letzten Jahren stark zugenommen. Diese Dynamik ermöglicht die Interaktion mit Nutzern und das Bereitstellen von webbasierten Diensten. Für ein Unternehmen bedeutet das i. d. R. eine Vereinfachung von Geschäftsprozessen, erhebliche Kosteneinsparungen und Wettbewerbsvorteile. Selbst Dienste, die wertvolle Unternehmens-interne Daten beinhalten sind aufgrund von veränderten Anforderungen an die Nutzung bzw. an Geschäftsprozesse aus unsicheren Netzen wie dem Internet erreichbar. So bieten ERP Systeme die vor einigen Jahren lediglich aus dem internen Firmennetzwerk erreichbar waren Schnittstellen zum Internet (vgl. SAP Business Server Pages). Dieser Trend birgt ein hohes Sicherheitsrisiko für Unternehmen wie auch Anwender. Webanwendungen haben gegenüber herkömmlicher Software eine wesentlich höhere Angriffsfläche, da eine Vielzahl von Verfahren/Techniken eingesetzt werden (Datenbankinteraktionen, verschiedene Programmier- und Skriptsprachen, Webserver, etc.). Darüber hinaus bietet das HTTP-Protokoll aufgrund der offenen Request/Response - Kommunikation hervorragende Analysemöglichkeiten. Aufgrund der aufgezeigten sensiblen Eigenschaften ist eine umfassende Analyse der Webanwendung auf Design-, Implementierungs- und Konfigurationsfehler von zentraler Bedeutung. Wir empfehlen als umfangreiche Sicherheitsanalyse das Testen der Webanwendung mittels Threat Modeling, Static Analysis und Fuzzing, um äquivalent zu herkömmlicher Software ein größtmögliches Sicherheitsniveau zu gewährleisten. Zusätzlich sollte ein Penetration Test des Web-Servers durchgeführt werden. Das Kompromittieren des Web-Servers bedeutet ebenso das Beeinträchtigen von Vertraulichkeit, Integrität und Authentizität der gesamten Webanwendung und den zugrundeliegenden Daten. So ist es Angreifern möglich, alle Daten der Webanwendung einzusehen, diese zu verändern oder gar eigene Schadsoftware zu installieren. Die aufgezeigten Angriffsmöglichkeiten bewirken i. d. R. langfristige monetäre Schäden und können das Image des Unternehmens erheblich beeinträchtigen. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 6 von 9
8 Embedded Systems Eingebettete Systeme sind in ein größeres Produkt integrierte informationsverarbeitende Systeme, die meist nicht direkt wahrgenommen werden. Beispiele sind Router, speicherprogrammierbare Steuerungen und Unterhaltungsgeräte (Spiele) etc. Sicherheitslücken in eingebetteten Systemen haben weitreichende Konsequenzen. Angefangen von Routern, im Stromzähler des Smart Grid bis hin zu Anlagen zur Überwachung und Steuerung in der Elektro- Gas-, Wasserund Ölversorgung eingesetzt werden vgl. stuxnet. Ein eingebettetes System besteht sowohl aus Software als auch Hardware. Durch die Trendwende zum Ubiquitous Computing also der Allgegenwärtigkeit der rechnergestützten Informationsverarbeitung sind die früher autarken Systeme nun miteinander vernetzt. Darüber hinaus verfügen komplexe eingebettete Systeme über ein eigenständiges spezielles Betriebssystem (embedded OS), eine Webschnittstelle oder unterstützen auch Hochsprachen. Dadurch ergeben sich eine Vielzahl an Eingabeschnittstellen, die zum Fuzzing genutzt werden können. Dennoch ist die Identifizierung der Eingabeschnittstellen eine Herausforderung beim Fuzzen eingebetteter Systeme. Nicht jeder Fuzzer versteht jede Eingabeschnittstelle. Der Fuzzer kann dabei als externe Anwendung arbeiten oder als Anwendung auf dem Testsystem. In jedem Fall steht er logisch zwischen dem Testsystem und dem eingebetteten System. Der Embedded-Fuzzer agiert als Bridge. Eine weitere Herausforderung stellt das Monitoring dar. Nicht immer ist es möglich einen Monitor auf dem eingebetteten System zu installieren, es erfolgen auf Request-Telegrammen keine Respone-Telegramme, die Kommunikation ist unidirektional etc. In solchen Szenarien ist nur ein manuelles Monitoring (durch den Experten) möglich; soft check entwickelt auch selbst Fuzzer und generiert spezifische Attack Strings (Testdaten). Embedded Fuzzing eignet sich hervorragend zur Fehleranalyse eingebetteter Systeme. Die meisten heute eingesetzten Verfahren zur Fehleranalyse eingebetteter Systeme erfolgen nur über Fehlersimulationen. Diese sind sehr zeitaufwendig und bergen die Gefahr der Unvollständigkeit. Durch Analog-Fuzzer ist eine Fehlerinjektionen vollständig auf Hardware-Ebene realisierbar. App-Fuzzing Das Sicherheitsniveau von Apps für Android, ios und OSX oder ähnlichen Betriebssystemen für Smart Devices (Smartphones etc.) entspricht häufig nicht den Anwendervorstellungen; Apps ermöglichen im Einzelfall das Auslesen aller Daten (Adressverzeichnis, s, SMS, MMS, Anrufer ) des smart Devices und auch das Abhören und Mitschneiden von Gesprächen und auch den uneingeschränkten Zugriff auf (kostenpflichtige) Onlinedienste - ohne einen PC oder ein Notebook/Laptop zu nutzen. Mit Threat Modeling, Static Analysis und insbesondere Fuzzing der automatischen Erzeugung zielgerichteter Eingaben - können Programmierfehler und Sicherheitslücken identifiziert werden. Fuzzing bietet bei Apps auf jedem Betriebssystem und jedem Smartphone eine sehr kosteneffiziente Möglichkeit um automatisiert Fehler und Sicherheitslücken zu finden die von Angreifern unbemerkt ausgenutzt werden können. Der Fuzzing-Prozess ist bis auf gewisse Einschränkungen durch die Hardware des Smartphones äquivalent zu der bei herkömmlicher Hard- und Software die auf Desktop-Rechnern läuft. Hier muss ggf. eine eigene Monitorlösungen entwickelt werden. 8 Spezielle Anwendungen Entwicklung proprietärer Fuzzer Ist für ein konkretes Target-System ein angemessener Fuzzer nicht verfügbar, entwickelt soft speziellen Fuzzer. check einen Proprietäre Attack Strings Für spezielle Target Systems entwickelt softscheck auch spezifische Attack-Strings auf der Basis selbstentwickelter Testdaten. 9 Ergebnisse Mit Fuzzing und Threat Modeling stehen Tool-gestützte Verfahren zur Detektion von insbesondere sicherheitsrelevanten Softwarefehlern zur Verfügung. So kann Zero-Day-Angriffen, welche eine der zwanzig am häufigsten auftretenden Angriffsformen sind, entgegenwirkt und die Anwendungssicherheit effizient und marktgerecht gesteigert werden. Eine Zusammenfassung der folgenden 6 Ergebnisse: Systematische Suche und auch erfolgreiche (!) Identifizierung der wesentlichen Sicherheitslücken. Und zwar in jeder Software: Individualsoftware, Standardsoftware wie ERP, CRM und auch unternehmensspezifische Ergänzungen, Betriebssysteme, embedded Systems etc. Kein Quellcode wird zum Threat Modeling und Fuzzing benötigt - ausführbare Dateien bzw. das Design reichen völlig aus: Black-Box. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 7 von 9
9 Nur bei Einsatz von Threat Modeling und Fuzzing können Design- und Implementierungsfehler sowie Sicherheitslücken identifiziert werden. Erst bei Einsatz mehrerer Tools einer Klasse (bei Fuzzern z.b. drei bis sieben verschiedene Fuzzer) kann ein Optimum an bisher nicht-erkannten Sicherheitslücken identifiziert werden. Mit ausgewählten Code-Coverage-Tools kann der Erfolg des Fuzzing bewertet werden. soft check kann dazu einen auf das Zielprogramm hin optimierten eigenen Datensatz einsetzen. Bei Softwareherstellern und Endanwendern kann durch die Kombination der erläuterten Verfahren und die Integration in den SDLC ein höheres Return on (Security) Investment erreicht werden. Zudem kann proaktiv die Qualität der Software gesteigert und können Markteinführungszeiten reduziert und Kosten gespart werden. Neben der Kostenersparnis kann die Reputation des Softwareherstellers durch sicherere Software gesteigert werden. Threat-Modeling, Static-Analysis und Fuzzing können für alle Anwendungsarten eingesetzt werden - von Protokollen bis hin zur Individualsoftware und Webapplikationen. Zur Unterstützung bei einer bedarfsgerechteren Auswahl von geeigneten Tools hat soft check eine Taxonomie entwickelt. Method No. Vulnerabilities No. Tools used Architecture Analysis: Threat Modeling Static Source Code Analysis Penetration Testing (8) 4-9 Dynamic Analysis: Fuzzing 27 > 60 Abb. 6: Erfolge bei der Identifizierung von Sicherheitslücken Die Anzahl der mit Fuzzing identifizierten Sicherheitslücken (meist ohne Vorliegen des Quellcode) ist enorm. Dies ist der Grund für die zunehmende Verbreitung und Beliebtheit der Methode. So wurden in einem Projekt des Autors in bereits an Kunden ausgelieferter Standardsoftware 50 kritische (bisher nicht veröffentlichte) Sicherheitslücken identifiziert, die aus dem Internet ausnutzbar waren - vgl. Abb. 7. Dies obwohl beim Hersteller ein umfangreiches Richtlinienwerk auch hinsichtlich der Programmierung sicherer Software existiert. 10 Die erfolgreichsten Verfahren zur Identifizierung von Sicherheitslücken Threat Modeling Sicherheitslücken werden bereits in der Designphase identifiziert. Systematische und Tool-gestützte Verfahren. Sicherheitslücken können priorisiert werden: Aus dem Internet ausnutzbar und/oder geringer Aufwand für den Angreifer. Static Source Code Analysis Tool-gestütztes Code Reading. Fuzzing Black-Box - kein Quellcode erforderlich - ausführbare Dateien reichen völlig aus! Gängige Verfahren - seit mehr als 5 Jahren bei den weltweit größten Softwarehäusern im Einsatz - auch in KMU. soft check unterstützt darüber hinaus mit den weiteren Verfahren: Security by Design: Entwicklung von Sicherheitsarchitekturen für Software Penetration Testing u.a. zur Überprüfung auf bereits bekannte Sicherheitslücken Explorative Testing und manuelles Code Auditing. Und letztlich identifizieren und analysieren wir auch Covert Functions undokumentierte, verdeckte Funktionen u.a. auch auf Smartphones und mobile Devices. 1. August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 8 von 9
10 Weiterführende Literatur Beyond Security (Ed.): Beyond Security (Ed.): Codenomicon (Ed.): Black Box Testing. McLean Beyond Security introduces 80/20 rule for 'smart' blackbox testing in new version of bestorm. McLean Buzz on Fuzzing. Cupertino Fox, D.: Fuzzing. DuD 30, 2006, 12, Peter, M.; Karen, S.; Romanosky, S.: Complete Guide to Complete Guide to the Common Vulnerability Scoring System Version 2.0 Gaithersburg Pohl, H.: Zur Technik der heimlichen Online-Durchsuchung. DuD 31, 9, Pohl, H.: Kostengünstige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing. KES Zeitschrift für Informationssicherheit, Heft 2 / 2010 Rathaus, N.; Evron, G.: Open Source Fuzzing Tools. Amsterdam Doyle, F.; Fly, R.; Jenik, R.; Manor, D. Miller, C.; Naveh, Y.: Open Source Fuzzing Tools. Amsterdam 2007 Sutton, M,; Greene, A.; Amini, P.: Fuzzing - Brute Force Vulnerability Discovery. New York Takanen, A.; Demott, J.D.; Miller, C.: Fuzzing For Software Security Testing And Quality Assurance. Norwood August 2012 Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken Seite 9 von 9
11 Prof. Dr. Hartmut Pohl Geschäftsführender Gesellschafter soft check GmbH Köln www. soft check.com Büro: Bonner Str Sankt Augustin Tel.: +49 (2241) Mobil: +49 (172) Fax: +49 (2241) check.com
Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing
Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat und Fuzzing Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg Mit dem Einsatz von Tools zum Threat (Designphase) und Fuzzing
MehrKostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken
White Paper Software-Sicherheit Kostengünstige Identifizierung bisher nicht-erkannter Sicherheitslücken Darstellung der 3 Verfahren Threat Modeling, Static Source Code Analysis und Dynamic Analysis: Fuzzing
MehrWindows 8 Lizenzierung in Szenarien
Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene
MehrAnalyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS
Analyse zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com Januar 2010 Inhalt Summary und Key Findings
MehrResearch Note zum Thema: Laufzeit von Support-Leistungen für Server OS
Research Note zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com November 2009 Inhalt 1 EINFÜHRUNG
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
MehrDiplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008
Konzeption und Implementierung einer automatisierten Testumgebung, 10. Dezember 2008 1 Gliederung Einleitung Softwaretests Beispiel Konzeption Zusammenfassung 2 Einleitung Komplexität von Softwaresystemen
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
Mehrwhite sheep GmbH Unternehmensberatung Schnittstellen Framework
Schnittstellen Framework Mit dem Schnittstellen Framework können Sie einerseits Ihre Schnittstellen automatisch überwachen. Eine manuelle Kontrolle wird überflüssig, da das Schnittstellen Framework ihre
MehrLizenzierung von System Center 2012
Lizenzierung von System Center 2012 Mit den Microsoft System Center-Produkten lassen sich Endgeräte wie Server, Clients und mobile Geräte mit unterschiedlichen Betriebssystemen verwalten. Verwalten im
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrInformationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:
Informationssystemanalyse Problemstellung 2 1 Problemstellung Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse: große Software-Systeme werden im Schnitt ein Jahr zu spät
MehrPatch Management mit
Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrVersion smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):
Supportanfrage ESN Bitte füllen Sie zu jeder Supportanfrage diese Vorlage aus. Sie helfen uns damit, Ihre Anfrage kompetent und schnell beantworten zu können. Verwenden Sie für jedes einzelne Thema jeweils
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrFRONT CRAFT. www.frontcraft.com contact@frontcraft.com
FRONT CRAFT Viele Menschen und viele Unternehmen haben eine Webseite. Jede neue, die dazu kommt, sollte nicht nur gut, sondern erstklassig sein. Das ist unsere Leidenschaft. FrontCraft. www.frontcraft.com
MehrIntegration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.
Integration mit Die Integration der AristaFlow Business Process Management Suite (BPM) mit dem Enterprise Information Management System FILERO (EIMS) bildet die optimale Basis für flexible Optimierung
MehrPatch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011
Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrWo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp.
Erfahrungen mit dem Insight Manager von HP Dipl. Ing. Elektrotechnik (FH) - Automatisierungs- / Regelungstechnik DV-Spezialist Landesbank Rheinland-Pfalz Abteilung 2-351 Große Bleiche 54-56 55098 Mainz
MehrCeBIT 17.03.2015. CARMAO GmbH 2014 1
CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH
MehrMicrosoft Update Windows Update
Microsoft bietet mehrere Möglichkeit, Updates durchzuführen, dies reicht von vollkommen automatisch bis zu gar nicht. Auf Rechnern unserer Kunden stellen wir seit September 2006 grundsätzlich die Option
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrMetaQuotes Empfehlungen zum Gebrauch von
MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrEIDAMO Webshop-Lösung - White Paper
Stand: 28.11.2006»EIDAMO Screenshots«- Bildschirmansichten des EIDAMO Managers Systemarchitektur Die aktuelle EIDAMO Version besteht aus unterschiedlichen Programmteilen (Komponenten). Grundsätzlich wird
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrJava Entwicklung für Embedded Devices Best & Worst Practices!
Java Entwicklung für Embedded Devices! George Mesesan Microdoc GmbH Natürlich können wir dieses neue log4j Bundle auch auf dem Device verwenden. Ist doch alles Java. Java Micro Edition (ME) Java Standard
MehrWann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?
DGSV-Kongress 2009 Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt? Sybille Andrée Betriebswirtin für und Sozialmanagement (FH-SRH) Prokuristin HSD Händschke Software
MehrBei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.
Beschreibung der Focus Methode Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient. 1. F = Failure / Finding An dieser Stelle wird der
MehrIBM Software Demos Tivoli Provisioning Manager for OS Deployment
Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,
MehrDer schnelle Weg zu Ihrer eigenen App
Der schnelle Weg zu Ihrer eigenen App Meine 123App Mobile Erreichbarkeit liegt voll im Trend. Heute hat fast jeder Zweite in der Schweiz ein Smartphone und damit jeder Zweite Ihrer potentiellen Kunden.
MehrBildquelle: http://bild2.qimage.de/diamant-computergesteuerte-naehmaschine-foto-bild-86314142.jpg
Bildquelle: http://bild2.qimage.de/diamant-computergesteuerte-naehmaschine-foto-bild-86314142.jpg Unsere digitale Welt konfrontiert uns mit einer Unmenge an computergesteuerten Geräten, Maschinen und Steueranlagen.
MehrISA Server 2004 - Best Practice Analyzer
ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrFehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems
Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,
MehrOUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten
Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist
MehrDer Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.
Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre. 14. Juli 2015. Der Tag, an dem in Ihrem Unternehmen das Licht ausgehen könnte. An diesem Tag stellt
MehrAnleitung zum Extranet-Portal des BBZ Solothurn-Grenchen
Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen Inhalt Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen 2.2 Installation von Office 2013 auf Ihrem privaten PC 2.3 Arbeiten mit den Microsoft
MehrSeite 1 von 14. Cookie-Einstellungen verschiedener Browser
Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht
MehrMatrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version 1.0.0. 23. September 2015 - 1 -
Matrix42 Use Case - Sicherung und Rücksicherung persönlicher Version 1.0.0 23. September 2015-1 - Inhaltsverzeichnis 1 Einleitung 3 1.1 Beschreibung 3 1.2 Vorbereitung 3 1.3 Ziel 3 2 Use Case 4-2 - 1 Einleitung
MehrInhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. 7 Key Features.
Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features Seite 2 von 11 1. Übersicht MIK.mobile for ipad ist eine Business Intelligence
Mehr2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE
2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE 2.1 Die Einrichtung der Benutzeroberfläche Das Einrichten einer Android-Eclipse-Entwicklungsumgebung zur Android-Entwicklung ist grundsätzlich nicht
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
Mehrschnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG mitp/bhv
Roboter programmieren mit NXC für Lego Mindstorms NXT 1. Auflage Roboter programmieren mit NXC für Lego Mindstorms NXT schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG mitp/bhv Verlag
MehrIT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg
IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis
Mehr4D Server v12 64-bit Version BETA VERSION
4D Server v12 64-bit Version BETA VERSION 4D Server v12 unterstützt jetzt das Windows 64-bit Betriebssystem. Hauptvorteil der 64-bit Technologie ist die rundum verbesserte Performance der Anwendungen und
MehrSystem Center Essentials 2010
System Center Essentials 2010 Microsoft System Center Essentials 2010 (Essentials 2010) ist eine neue Verwaltungslösung aus der System Center-Produktfamilie, die speziell für mittelständische Unternehmen
MehrDaten Monitoring und VPN Fernwartung
Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet
MehrInstallation des Authorware Webplayers für den Internet Explorer unter Windows Vista
Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista Allgemeines: Bitte lesen Sie sich diese Anleitung zuerst einmal komplett durch. Am Besten, Sie drucken sich diese Anleitung
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
Mehrcrm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe
crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms: Webdesigner Handbuch Copyright 2006 crm-now Versionsgeschichte Version 01 2006-08-21 Release Version crm-now c/o im-netz Neue
MehrMehrwerte aus SAM-Projekte generieren AVISPADOR
Mehrwerte aus SAM-Projekte generieren AVISPADOR SAMVANTAGE ist ein integriertes und modulares Beratungsmodel, das Entscheidern in Anwenderunternehmen die Möglichkeit bietet, vom Hersteller avisierte SAM-Projekte
MehrIn 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrWindows Small Business Server (SBS) 2008
September 2008 Windows Small Business Server (SBS) 2008 Produktgruppe: Server Windows Small Business Server (SBS) 2008 Lizenzmodell: Microsoft Server Betriebssysteme Serverlizenz Zugriffslizenz () pro
MehrWir sind Partner der Servicon Service & Consult eg für die Mitglieder der Verbundgruppen des ZGV (Zentralverband gewerblicher Verbundgruppen).
Gibt es bei Ihnen Optimierungbedarf beim Thema Mengenbündelung bzw. beim zentralregulierten Einkauf? Verbundgruppenkunden und deren Mitgliedsunternehmen nutzen hierfür epool. Was ist epool? Verbundgruppen
MehrSecurity Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung
Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!
MehrYouTube: Video-Untertitel übersetzen
Der Easytrans24.com-Ratgeber YouTube: Video-Untertitel übersetzen Wie Sie mit Hilfe von Easytrans24.com in wenigen Schritten Untertitel für Ihre YouTube- Videos in mehrere Sprachen übersetzen lassen können.
MehrMein Roland gibt mir Sicherheit.
ROLAND SCHUTZBRIEF Internet-Schutzbrief geht es mir gut Mein Roland gibt mir Sicherheit. ROLAND Internet-Schutzbrief ROLAND INTERNET-SCHUTZBRIEF Insgesamt nutzen in Deutschland über 75 Prozent der Privatpersonen
MehrProf. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand
Lage der IT-Sicherheit im Mittelstand Inhalt Die Situation heute: Eine kritische Bewertung 2 Inhalt Die Situation heute: Eine kritische Bewertung 3 IT-Sicherheit u. Vertrauenswürdigkeitrdigkeit Veränderung,
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrLokale Installation von DotNetNuke 4 ohne IIS
Lokale Installation von DotNetNuke 4 ohne IIS ITM GmbH Wankelstr. 14 70563 Stuttgart http://www.itm-consulting.de Benjamin Hermann hermann@itm-consulting.de 12.12.2006 Agenda Benötigte Komponenten Installation
MehrSenden von strukturierten Berichten über das SFTP Häufig gestellte Fragen
Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrWindows Server 2012 R2 Essentials & Hyper-V
erklärt: Windows Server 2012 R2 Essentials & Hyper-V Windows Server 2012 R2 Essentials bietet gegenüber der Vorgängerversion die Möglichkeit, mit den Boardmitteln den Windows Server 2012 R2 Essentials
MehrVerwendung des Terminalservers der MUG
Verwendung des Terminalservers der MUG Inhalt Allgemeines... 1 Installation des ICA-Client... 1 An- und Abmeldung... 4 Datentransfer vom/zum Terminalserver... 5 Allgemeines Die Medizinische Universität
MehrEinfach. Revolutionär. HomeCom Pro von Junkers.
Einfach. Revolutionär. HomeCom Pro von Junkers. 2 HomeCom Pro Lüftung Smart Home Bewegungsmelder Unterhaltungselektronik Rauchmelder Haushaltsgeräte Einzelraumregelung Jalousiensteuerung Beleuchtung Alarmanlage
MehrAIRWATCH. Mobile Device MGMT
AIRWATCH Mobile Device MGMT AIRWATCH Was ist Mobile Device Mgmt. Welche Methoden von Device Mgmt sind möglich Airwatch SAAS / on Premise Airwatch Konfiguration von Usern und Sites Airwatch Konfiguration
Mehr(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.
1 TimeTrack! TimeTrack! Ist ein Softwareprodukt von The Project Group, welches der Erfassung von Ist- Aufwänden von Projekten dient. Voraussetzung hierfür ist allerdings, dass das Projekt vorher mit Microsoft
MehrEine Anwendung mit InstantRails 1.7
Eine Anwung mit InstantRails 1.7 Beschrieben wird das Anlegen einer einfachen Rails-Anwung, die ohne Datenbank auskommt. Schwerpunktmäßig wird auf den Zusammenhang von Controllern, Views und der zugehörigen
MehrIdentifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing
Fuzzelarbeit Identifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing Oft genug finden Anwender und Hacker durch unpassende Eingaben mehr oder minder zielgerichtet Schwachstellen
MehrPräsentation Von Laura Baake und Janina Schwemer
Präsentation Von Laura Baake und Janina Schwemer Gliederung Einleitung Verschiedene Betriebssysteme Was ist ein Framework? App-Entwicklung App-Arten Möglichkeiten und Einschränkungen der App-Entwicklung
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrCOMPUTER MULTIMEDIA SERVICE
Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web
Mehrbackupmyfilestousb ==> Datensicherung auf USB Festplatte
Diese Präsentation zeigt Ihnen den Vergleich von mit anderen Datensicherungsverfahren. Backupmyfilestousb ist eine Software für Datensicherung, mit der Sie Ihre Daten täglich oder mehrmals täglich auf
MehrDas tgm stellt virtuelle Desktops zur Verfügung. Um diese nutzen zu können, gehen Sie bitte wie folgt vor:
Das tgm stellt virtuelle Desktops zur Verfügung. Um diese nutzen zu können, gehen Sie bitte wie folgt vor: Diese Anleitung wurde für Windows 7 und Internet Explorer 11 geschrieben. Für andere Betriebssystem/Browser
MehrHerzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.
Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen
MehrKompatibilitätsmodus und UAC
STEITZ IT-Solutions Kompatibilitätsmodus und UAC Der nachfolgenden Artikel beschreibt, wie Sie die UAC (User Account Control = Benutzerkontensteuerung) für ausgewählte Anwendungen deaktivieren. Mit der
MehrInstallation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools
Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte
MehrEigenen WSUS Server mit dem UNI WSUS Server Synchronisieren
Verwaltungsdirektion Informatikdienste Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren Inhaltsverzeichnis Einleitung... 3 Installation WSUS Server... 4 Dokumente... 4 Step by Step Installation...
MehrL10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016
L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016 Referentin: Dr. Kelly Neudorfer Universität Hohenheim Was wir jetzt besprechen werden ist eine Frage, mit denen viele
MehrDie Lernumgebung des Projekts Informationskompetenz
Beitrag für Bibliothek aktuell Die Lernumgebung des Projekts Informationskompetenz Von Sandra Merten Im Rahmen des Projekts Informationskompetenz wurde ein Musterkurs entwickelt, der den Lehrenden als
Mehr2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)
1. Einführung: Über den ODBC-Zugriff können Sie bestimmte Daten aus Ihren orgamax-mandanten in anderen Anwendungen (beispielsweise Microsoft Excel oder Microsoft Access) einlesen. Dies bietet sich beispielsweise
Mehr1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN
KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen
MehrClientkonfiguration für Hosted Exchange 2010
Clientkonfiguration für Hosted Exchange 2010 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergegeben werden. Kontakt: EveryWare AG
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
Mehrdisk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2
disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als
MehrTechNote. Produkt: TWINFAX 7.0 (ab CD_24), TWINFAX 6.0 Modul: SMTP, T611, R3 Kurzbeschreibung: Briefpapier- und Mailbodyunterstützung
Produkt: TWINFAX 7.0 (ab CD_24), TWINFAX 6.0 Modul: SMTP, T611, R3 Kurzbeschreibung: Briefpapier- und Mailbodyunterstützung Diese Anleitung hilft Ihnen, das nachfolgend geschilderte Problem zu beheben.
MehrSQL Server 2008 Standard und Workgroup Edition
September 2008 Produktgruppe: Server Lizenzmodell: Microsoft Server Server/ Serverlizenz Zugriffslizenz () pro Gerät Zugriffslizenz () pro Nutzer Produktgruppe: Server Lizenzmodell: Microsoft Server Pro
Mehr