Security Engineering im Software-Projekt
Shownotes
Wie kann man Software so entwickeln, dass sie nicht gehackt wird? Darüber spricht Wolfgang in dieser Ausgabe mit Clemens Hübner. Clemens ist Security Engineer bei inovex und begleitet unsere Entwicklungsprojekte aus Security-Perspektive. Was das in seinem Alltag bedeutet, wie man Schwachstellen schon vor der Implementierung verhindert und welche Trends sich in der Software Security abzeichnen, hört ihr in dieser Folge.
- Security bei inovex: https://www.inovex.de/de/leistungen/security/
- Digital Quality bei inovex: https://www.inovex.de/de/leistungen/digital-quality/
Twitter: https://twitter.com/inovexgmbh Instagram: https://www.instagram.com/inovexlife/ www.inovex.de www.inovex.de/blog
Transkript anzeigen
00:00:00: Intro
6566: Hallo und herzlich willkommen zu digital future
6566: dem innovex Podcast mein Name ist Wolfgang Schoch und in der heutigen Folge unterhalte ich mich mit meinem Kollegen Clemens Hübner über sécurité
6566: Security Layer ist Gefühl zumindestens sehr wichtiges Thema denn man liest ja auch immer wieder in den Nachrichten dass irgendwelche großen Firmen Security Problem haben dass in welche Daten gelegt werden und dass das dann auf das Unternehmen
6566: durchaus sein existenzbedrohend werden kann und deswegen freue ich mich heute mal ein bisschen was über das Thema Security zu erfahren Hallo Clemens schön dass du da bist.
7206: Hallo Wolfgang grüß Dich danke dass ich da sein darf.
6566: Ja sehr gerne Clemens erstelle ich doch vielleicht mal ganz kurz vor Wer bist du was hast du vielleicht mal studiert und wie lange bist du schon bei uns.
7206: Ja gerne genau ich heiße Clemens ich wohne ich hier im schönen München bin bei einer weg seit gut vier Jahren als Security engineer er davor habe ich echt klasse
7206: Master Informatik gemacht davor nicht ganze Klasse Bachelor in Mathematik also da ein kleiner
7206: einer Switch drin gewesen und habe mich dann für einen Master dann eben auf IT security und Software-Engineering.
7206: Fokussiert und das sind so die zwei Bereiche an der Schnittstelle von denen nicht auch heute arbeiten und über die wir ja heute auch reden werden.
6566: Ja ganz genau jetzt wäre natürlich erstmal neugierig und mich würde interessieren was K für dich den Ausschlag dich damals auch schon im Masterstudium dann in gewisser Hinsicht auch Security zu spezialisieren.
6566: Was hat dich daran zu gereizt.
7206: Ich habe schon sehr lange irgendwie so ein Fable für Kryptographie dass ich weiß was ich hatte als als Jugendlicher mal irgendwann so ein Buch über über Verschlüsselungen und geheime Botschaften bekommen fand das alles sehr spannend so angefangen mit irgendwelchen.
7206: Cäsar Chiffre über dann in die man im Zweiten Weltkrieg deshalb hinzu moderne asymmetrische Kryptographie er hat da in der Schule damals auch schon meine Seminararbeit drüber geschrieben während dem Mathestudium dann
7206: ja da so ein bisschen Kryptographie gemacht wo es ging.
7206: 1 und 1 Master dann wieder gemerkt dass es doch irgendwas was ich spannend finde alle Sachen geheim halten auch versuchen geheime Sachen nicht mehr so geheimzuhalten also.
7206: Offensiver und defensiver IT security wenn man es dann weiter denkt und habe mich dann da im Master daneben mehr drauf darauf spezialisiert.
6566: Erst muss ich mal fragen ist das dieses Buch gelesen von simon Singh.
7206: Das war war der initiale Zünder bei mir her.
6566: Er ist kenne ich das echt ein cooles Buch ich habe von ihm auch noch ein anderes Buch gelesen über vermas letztens Hans das ist auch ganz cool und dann sich du hast ja auch Mathematik studiert wenn man sie
6566: sicher Mathe interessiert also schonmal zwei gute Literaturtipps direkt am Anfang ja cool du bist bei uns angestellt offiziell als korrigiere mich bitte wenn ich das falsch sage Security engineer.
7206: Korrekt.
6566: Yeah und in dieser Rolle unterstützte uns ja in unseren Projekten wenn es einfach darum geht mehr Sicherheit nicht es den reinzubringen
6566: glaube,
6566: so generell was was Security ist würde ich sagen es wahrscheinlich relativ klar vielleicht kannst du es mal trotzdem in ein zwei Sätze mal zusammenfassen was wir unter so Security oder IT security verstehen.
7206: Also die die Lehrbuch Definition die kriegt jetzt wahrscheinlich auch nicht mehr zusammen bei uns bei
7206: inovex es ist wichtig dass Security kein kein Zustand ist kein
7206: kein Punkt wo man sagen kann dieses System diese Software ist jetzt sicher sondern ist es halt der Prozess dass man die die Software absichert gegen ja angreifen aller möglichen Art
7206: und dann die Dino der Scheidung ist es ist glaube ich wichtig in der Stelle.
6566: Das finde ich super interessant weil so naiv könnte man ja auch sagen ja Security bedeutet ich habe es nur Software entwickelt und da gibt's jetzt irgendwie ein Stempel drauf die ist sicher und
6566: dann kann dies verwendet werden ich werde mich jetzt den nächsten Projekt zu der nächsten Software und macht da keine Ahnung wie es sowieso eine TÜV Untersuchung vielleicht vergibt die Plakette
6566: und dann ist sie sicher du sagst jetzt dass es dabei eher um den Prozess geht wie genau meinst du das dann.
7206: Naja zum einen hat man ja selten den Fall dass man jetzt sagt ich habe jetzt hier eine Software entwickeln ist jetzt fertig und ich wende mich dem nächsten Projekt zu uns
7206: lass das alles so wie es ist also die sagt er muss jetzt um einen noch irgendwie betrieben werden aber oft mit dieser Speer ja auch noch auch noch weiterentwickelt das weißt Du selbst wenn man zu einem Zeitpunkt irgendwie sagt ich habe das Gefühl dass ich jetzt sicher da
7206: habe ich irgendwie ein Stempel drauf machen dass ich krieg ich sogar irgendwie Zertifikat von von irgendeiner Auditierung dass das jetzt sicher sei am dann ja
7206: muss das ja trotzdem weiter weiter betrieben werden weiter aktualisiert werden und noch weiterentwickelt werden mit jeder Weiterentwicklung ist es ja auch nötig dann die Security wieder neu zu evaluieren und genauso auch mit jeder Weiterentwicklung.
7206: Am im Umfeld als Oberfläche oder auch von den Angreifern.
7206: Es ist wichtig dass man schaut ist das Produkt dann immer noch sicher deswegen ist das Meer Meer so ein Prozessen.
7206: Fortführen da fortführen der Prozess als eine Momentaufnahme.
6566: Wenn du wenn du Prozess sagst bist du die nächste Assoziation die ich direkt habe ist geh zur Zeit bei deiner Arbeit darum.
6566: Software oder oder ob Systeme die wir entwickelt haben und dann den würde nie beteiligt sind die irgendwie zu überprüfen und festzustellen ob da.
6566: Keine Ahnung in welche Sicherheitslücken drin sind oder ob deine Nichte Best-Practices vielleicht nicht beachtet wurden und deswegen hier irgendwelche Dinge möglich sind die nicht möglich sein sollten.
6566: Oder geht's bei deinem Job auch darum vielleicht zu den Entwicklungsprozess allgemein sicherer zu machen oder irgendwie zu verbessern.
7206: Sowohl als auch also
7206: Testen von Software es ist ein wichtiger Bestandteil also entweder in Form von dem von Penetration Test oder auch von dem Audit wo man sich gemeinsam mit dem Team vielleicht
7206: den Code oder dir die Anwendungen anschaut
7206: ist ein wichtiger Teil aber wer kennt ja so von von Bugs allgemein dass du früher man ein Back erkennst dass du günstiger sie zu fixen wenn er schon in production ist deutlich schwieriger als wenn man den vielleicht und dann testen findet oder wenn man ihn sogar gar nicht erst einbaut und ähnliches bei der Security auch also.
7206: Alles gut angehen
7206: test beim Abschluss zu machen bevor man was die Leute sich das noch mal in Ruhe anzuschauen aber noch schöner noch besser ist natürlich wenn man die Sicherheitslücke gar nicht erst.
7206: Einbau deswegen sitze ich und setzen wir insgesamt auch einfach schon früher an Versuchen von Anfang an im Entwicklungsprozess mit dabei zu sein die die Entwicklung und zu begleiten das im besten Fall
7206: die am.
7206: Doch der schon schon sicher entwickelt wird das ist ihm schon sicher entwickelt wird und in einem späteren Test dann gar nichts mehr auffällt.
6566: Ja das klingt auf jeden Fall natürlich gut weil was du sagst kann ich zu 100% unterschreiben wenn man irgendwann mal in production and back findet.
6566: Dann ist es mitunter extrem viel Arbeit den wie zu beheben und dadurch ist es auch extrem teuer und wenn ich durch meine
6566: Entwicklungsprozesse frühzeitig irgendwie bemerke dass was nicht richtig funktioniert übernächste heißt durch chemische Unit-Tests oder durch andere Maßnahmen die vielleicht mehr mantic lungs Prozess habe dann ist es natürlich viel besser weil ich habe dann ja gar nicht die Anführungszeichen Chance auf diesen Bug drauf noch was anderes drauf zu bauen das darauf passiert und
6566: dann wirklich so ganz und hinterwurzel entweder zu haben der vielleicht ganz viele Auswirkung hat auf andere Teile von meinem System.
7206: Genau und bei Security Bugs oder Sicherheitslücken ist ist das die Auswirkung ja oft noch viel drastischer also wenn ich jetzt auf production merke ich habe irgendeine Berechnung falsch programmiert dann ist das natürlich ärgerlich und es ist aufwendig es irgendwie zu ändern aber wenn ich merke ich habe irgendwie meinen.
7206: Die gesamte Datenbank irgendwie offen ins Internet gestellt dann kann ich das vielleicht zu relativ schnell schwitzen aber da ist das Kind natürlich zudem.
7206: Zeitung schon in Brunnen gefallen und die Auswirkungen können dann viel größer sein.
6566: Ich frage mich jetzt eine Sache ich habe ja auch schon das ein oder andere Jahr so im Bereich Softwareentwicklung verbracht und nicht zurück denke ich habe so angefangen nach dem Studium so 2008 zu arbeiten verschiedene Tochterfirmen
6566: von dedizierten Security engineer gab study in den Anfangsjahren in den Anfangsjahren fast immer so aus ja wir Leute aus der Entwicklung wir hatten halt mehr oder weniger Erfahrung
6566: und die haben damit eingebracht und hat sich auch mal mit denen
6566: mit den Leuten im Team mal besprochen und es gab meistens noch irgendein Experten für Linux-Systeme den hat man noch mal gefragt in Zukunft eher wenn es irgendwie deployment auf dem Linux-Server gegen was man da ist noch mal genau machen muss mit den Rechten ist es
6566: sainsmart 777 ist es richtig oder falsch also solche Sachen aber so dediziert ja ne Instanz die am Schluss noch mal entweder insecurity checkers unordered gemacht hat
6566: oder auch jemand der während der Entwicklung Videos gemacht hat für unseren Entwicklungsprozess oder auch die ganzen Inkremente die wir entwickelt haben.
6566: Gab's in meiner Erinnerung früher Nähe und ich habe das ehrlich gesagt zu es bei inovex kennengelernt du hast gesagt du bist 4 Jahre dabei wir haben noch einen anderen Kollegen das gleich 56 Jahre dabei sein paar Jahre länger.
6566: Das waren für mich so die ersten Kontaktpunkte mit sowas also ansonsten Security Experten kenne ich sonst nur aus dem Fernsehen
6566: die hat mir meistens Kapuzenpullis auf oder es gibt schon alten Filme Sneakers wo alles so passiert wie die Experten sich ins System mehr rein hacken und das Sicherheitslücken zu finden die wären dafür bezahlt also erkenne ich dass das Konzept und wenn man drüber nachdenkt
6566: ich finde es auch ganz sinnvoll dass man Leute hat sie sich spezialisiert bezowe was auskennen aber die waren das dann früher oder
6566: wie kamst du zu dem Wandel dass man da vielleicht mehr drauf drauf geachtet hat hast du da für dich ne Erklärung.
7206: Ich glaube insgesamt werden wenn unsere Aufgaben immer spezialisierter und und insgesamt die die Softwareentwicklung immer immer breiter also
7206: vor fünf Jahren oder so haben sich auch die wenigsten Projekte in den extra accessibility engineer z.b. gegangen aber und auch in dem Bereich der extrem viel.
7206: Passiert extrem viel zurzeit und so ist es in in vielen Bereichen der Softwareentwicklung das ist einfach,
7206: Spezialisten gibt für für bestimmte Teile die sich damit besonders auskennen weil eben die die Entwicklung und nach der Betrieb von Software immer komplexer und immer umfassender wird und in der Security insbesondere.
7206: Am ja verändert sich halt
7206: die Angriffs Oberfläche massiv oder hat sich massiv vergrößert also immer mehr System aber auch immer mehr Firmen und Geschäftsmodelle basieren ja auf funktionierenden
7206: als dieses Thema funktionierender Software drystar wird die die Angriffe über Fläche und damit der Anreiz für für Angreifer auch.
7206: Haben entsprechend dagegen zu attackieren immer größer und auf der anderen Seite ist dann natürlich immer wichtiger dass man dass man die die Software auch sicher entwickelt und betreibt.
6566: Ja magst du uns vielleicht mal mitnehmen so in Deinen Alltag wie wieso wieder so aussieht für für Fernseh kg engineer.
7206: Gerne ja also wir verfolgen bei inovex und integrativen Ansatz das heißt da unsere Security engineers sind in die Projekte integriert wann versuchen eben von Anfang an
7206: Skyrim im gesamten Entwicklungszyklus mit dabei zu sein und auch in die Teams integriert zu sein als dich
7206: Entwickler auch mit in den Teams zurzeit hauptsächlich im Back-End
7206: und erfülle aber auch Security Aufgaben in meinem Team das heißt ich hab zu meinen einfach die IT security Brille den Security Hut auf wenn wir Sachen planen konzeptionieren entwickeln testen dann ist mit mir immer mindestens eine Person dabei die
7206: werde dann immer die die Frage stellt ja und wie machen das denn hier dann mit den Berechtigungen oder wie wie sichern wir das Jahr dadurch bin ich da und mach das
7206: dann eben halt noch explizite Security Maßnahmen teste unsere Software auf Schwachstellen und so weiter
7206: das mache ich so den Großteil meines meines Tages in meinem in meinem Hauptprojekt
7206: und dann begleite ich ihr mal wieder noch andere Projekte den vielleicht keinen eigenen Security engineer haben steht da für Fragen zur Verfügung und mach mal laut mach mal Workshop mach mal ein training.
7206: Haben um die Kolleginnen Kollegen da zu unterstützen.
6566: Diese Trainings machst du die quasi intern bei uns für andere Leute im Team oder in anderen Teams damit sich so diese Security Gedanke dass diese Security Sicht auch in der Breite einfach besser verteilt.
7206: Genau sowohl als auch also wir haben schon intern gemacht aber auch schon eher extern für für unsere Kunden und
7206: Trainings die ich bisher meistens gemacht habe Ihnen ja hauptsächlich eben auf softwarenetz darauf ab dass man sich erstmal
7206: bewusst wird was für Angriffs Oberflächen habe ich in meinem Projekt warum ist es Sicherheit richtig benutzen da gerne also die Möglichkeit dass selbst hacken selber dass man.
7206: Malindi
7206: in die Rolle des Angreifers schlüpft selber mal sieht was ein Angreifer ein potenziell machen kann das selber ausprobieren kann dann fällt sie auch deutlich leichter das in der eigenen Entwicklung,
7206: mitzubedenken und sein sich daran zu erinnern an was man vielleicht denken muss an was gegen was man sich absichern muss.
6566: Na das kann ja gut vorstellen das ist ja auch zu wenn du was für dich selbst machst dann bleib hier besser in Erinnerung wenn du das so richtig selber erlebst als als wenn du da nur in Wien Vortrag siehst mit ein paar PowerPoint zu dir gesagt Hotel
6566: da ist wegen dem Problem ist kann das kann auftauchen du musst hier drauf achten stelle mir schon ziemlich cool vor ist in Dassow die Reaktion wenn du solche Trainings machst vor Leute dann wirklich so hands-on sich über rein hacken und mal sehen
6566: wie einfach vielleicht so so manche Sache ist.
7206: Also erstmal ja genau ist mein oft erstaunt wie einfach das doch doch sein kann oder an was für einfache Sachen manchmal nicht gedacht wird also man
7206: brauch nicht immer das zehnköpfige Security den köpfige Hacker Team das irgendwo im Keller sitzt und über Wochen irgendwelche Netzwerke
7206: dann versucht irgendwie.
7206: Reinzukommen wir sehen das ja immer wieder auch in den in den leaks die die öffentlich werden da ist manchmal vielleicht einfach nur die die Berechtigungsprüfungen vergessen worden oder schlampig gemacht worden oder nämlich in Punkte offen oder die
7206: Berechtigungsprüfung nur im Frontend gemacht man kann sie einfach aushebeln also so einfach Sachen schauen wir uns natürlich immer als erstes an in den Trainings.
7206: Die Teilnehmer können dann halt so die die Lauingen Furz mal erkennen selber selber nachempfinden und nachprogrammieren
7206: wir benutzen das bewusst verwundbare Software für also Webshop in dem Falle hätte eben extra so programmiert wurde dass das Sicherheitslücken.
7206: Grinsen wenn man die einfach nachvollziehen kann und ein Highlight war dann als wir das Training mal bei einem Kunden aus dem E-Commerce Bereich gemacht haben.
7206: Und was ich die Sachen die die in diesem verwundbaren Webshop passiert sind dann auch direkt im eigenen Webshop ausprobiert werden konnten und man dann vielleicht doch an einer Stelle mal gemerkt hat ach ja Mist
7206: das geht bei uns ja auch.
6566: Oder soll ich mal echt gut vor 2. also es muss ich Office Marketing richtig gut so hey habt ihr den Workshop war das der richtige deine schlechte Entscheidung mich irgendwie zu engagieren wo es war eine gute Entscheidung.
7206: Absolut genau dann defekt
7206: natürlich nicht der Hauptzweck dass man dann direkt die die die Schwachstellen auf findet hat das kann man nicht kann man nicht erwarten dass dass dass das immer klappt aber die die avernes bei den EntwicklerInnen Entwicklern.
7206: Er wird auf jeden Fall hergestellt und man erinnert sich dann einfach beim nächsten mal programmieren dran was an dass man schlecht denken muss.
6566: Wie wissen das denn wenn du wenn du es dann würdest Du konkret im doing bist und du bist ein Projektor aber das da mit und hast diese Security Brille auf jetzt mal unter uns ist heute niemand zu aber kommt es gut an in den Teams oder bist du dann manchmal auch.
6566: Der derjenige der so ein bisschen nervt und der Platte Leuten ob es auf die Nerven geht weil du hier manchmal das letzte Wort haben willst oder fährt doch musst natürlich durch deinen Job und dann sagst hey guck mal habt ihr das auch so gemacht oder da ist was vergessen da musste man einige noch mal hier irgendwie ein Check reinmachen oder so
6566: wie ist es für dich in der Rolle.
7206: Es funktioniert tatsächlich meistens erstaunlich gut also insbesondere wenn man sich mal mit Kolleginnen Kollegen aus anderen Firmen oder aus anderen Umfeldern austauscht dann haben die auf Schmerzen.
7206: Die ich in meinen Projekten nicht so viel habt
7206: ich glaube das liegt hauptsächlich an dem an dem integrativen Charakter zum einen weil ich halt schon quasi an der Stelle wo man sich überlegt dass falsch zu machen sagen kann das keine gute Idee und dann ändern man halt noch mal und,
7206: wenn man das dann erst quasi nach dem zugeben im pentest findet dann ist das schon mal viel mehr Zeit und und Energie rein geflossen ist dann nochmals erinnern natürlich deutlich mühsamer und auch irgendwie unbefriedigend für die Kolleginnen Kollegen
7206: zum anderen werde ich aber halt auch mehr als ein Teil des Teams wahrgenommen auch als 1 1.
7206: Deine Entwickler einfach weil ich auf bin also wenn wenn irgendwie Sicherheitslücken in unserem in unserer Software sind dann ist es halt genauso möglich dass die von mir kommen oder auch nicht sondern ich kann dann halt an den passenden Stellen
7206: Einfluss darauf nehmen dass dass dass das besser gemacht wird und dann haben wir halt nicht diese Sache die dich an anderer Stelle auf.
7206: Beobachte das ebenso eine externe Security Abteilung irgendwie im schlimmsten Fall nur irgendwelche unsinnigen Vorgaben rüber wirft und sagt ihr müsst übrigens damit compliant sein und das muss hier gegen müssen alle Testseite oder im noch bisschen besseren Fall halt ja diese diese nein sage Rolle haben uns ständig
7206: meckern und sagen das geht nicht das geht nicht das nicht geht nicht ran,
7206: das ist natürlich viel besser möglich wenn man Teil vom Team ist auch irgendwie eine gleiche Sprache spricht man sich ja auf Augenhöhe begegnen kann und ja am Ende das dann auch.
7206: Ausbaden muss wenn man sagt er das müssen wir können nicht so einfach bauen das müssen wir bisschen bisschen mehr Zeit reinstecken dann bin so im Zweifel auch ich dass das dann mit dem Termin 4.
6566: Ja ich kann mir vorstellen dass gerade dieses auf Augenhöhe sich zu begegnen das super super wichtig ist dass du jetzt nicht der
6566: externe Berater in Anführungszeichen Düsseldorf externer Consultant der den Leuten mal zeigt wie es jetzt mal richtig gemacht wird sondern dadurch dass du halt auch richtig in so einem Projekt mit arbeitest kannst du das ja auch viel viel von dir das sagen wenn irgendwas wenn etwas nicht so richtig.
6566: Accuratis oder in was zu das passt also ich sehe so als Gegenbeispiel nichts was man erlebt in Projekten
6566: und dann ins Hotel Softwarearchitekten gab der so diesem Gott der ähnlichen Status hatte
6566: der dann irgendwie so seinen Untergebenen nur gesagt hat ja ihr macht das hier so so so ich habe solche schon mal mit Reise Kästle an die Wand gemalte das programmiert ist mal bitte aus und dann zeigt er mir das das fand ich immer schwierig aber wenn es jetzt der Kollege ist so auf Augenhöhe das kann ich mir schon gut vorstellen dass das dann das
6566: was man einfach dran profitierte.
6566: Das will ich find's immer cool mit Leuten zusammenzuarbeiten die in manchen Gebieten mehr wissen als ich weil er kann ich ja was lernen also wenn ich derjenige Wert der meisten weiß von allem dann das ist aber langweilig.
7206: Total genau
7206: eben nicht nicht ständig in dieser Expertenrolle bin sondern halt genauso mich in Settings wiederfinden Projektor wo andere der mehr wissen oder man irgendwie Sachen ausdiskutieren kann
7206: man überhaupt nicht diese diese Gefahr dass man irgendwie der Meinung ist man man weiß alles besser wenn man erklärt jetzt mal wie wie das hier funktioniert.
7206: Genau.
6566: Ja sag mal Clemens beim Thema Security ist vielleicht zu einer der ersten Gedanken die man hat
6566: geht vielleicht in die Richtung von zur klassischen Sicherheitslücken also
6566: man vergisst einen Parameter zu validieren und dadurch ist eine SQL-Injection irgendwie möglich also solche solche technischen Dinge.
6566: Ich beschäftige mich in meiner Freizeit ist ziemlich viel mit.
6566: Mit Computer Problem ist nicht mit Security wie du sondern er mit zu beziehen folgen die entstehen können wenn es irgendwo Fehler gibt und.
6566: Für mich ist von der Erkenntnis oder das von der Feststellung es ist oftmals gar nicht so
6566: nur der einzelne technische Fehler der über passiert wenn man sich mal anschaut ist schon der root cause analysis sondern das ist oftmals halt auch der
6566: Prozess außenrum also der Prozess nicht nur in der Entwicklung auch der Prozess in der Bedienung von einer Software dass manche Dinge einfach möglich sind das eine Person irgendwie was alleine entscheiden kann das nicht richtig gesichert ist durch zwei Personen
6566: dass das irgendwelche Sachen ohne misten und ohne spezielles Sicherheitsabfrage möglich sind und so weiter also was man wirklich folgenschweren Entscheidungen treffen kann indem man mit der aus dem Pull-Down-Menü die Teilchen einfach in die auswählt sind es auch Bereiche mit denen du dich beschäftigst.
7206: Ja absolut also.
7206: Insbesondere wenn irgendwie die die Software komplexer wird mehrere Teams zusammenarbeiten dann passiert halt schnell so einen an den an den Schnittstellen
7206: sich beide drauf verlassen dass der andere schon irgendwie einen Check macht oder irgendwas absichert und am Ende macht macht dann keiner an das wegen ist es dann an solchen Stellen natürlich besonders wichtig dass man irgendwie mit drauf schaut überprüft ja
7206: wer macht denn jetzt genau die Ansicht Infizierung und Vivi stell mir dann sicher dass hier nur die Leute hinkommen die die die passenden Rechte haben Rechte haben
7206: und am Ende sind dann natürlich genauso wie bei den Bugs auch bei bei Sicherheitslücken und die
7206: und die Tür ist danach die die am schwierigsten zu finden die irgendwie altyn in den Ausnahmefällen hinter Dreiecken auftreten
7206: die man halt nicht einfach so findet wenn man es normal benutzt sondern wo man wo man dann schon besonders hinschauen muss und auch diese.
7206: Diese Sichtweise hat die man als Security engineer glaube ich ein bisschen entwickelt nämlich so dieses ständig dran denken ja wie könnte ich das dann jetzt hier irgendwie Exploiten also was ist was wär denn jetzt wenn man jetzt hier das ausprobiert und so also das merke ich schon.
7206: Auch so im naja vielleicht jetzt nicht ständig im Alltag aber schon oft dass ich halt einfach auf diese Brille auf habe ja aber wie könnte man denn da jetzt hier irgendwie vielleicht doch dumm rum kommen oder macht mal Spiel gerne auch escape rooms escape Games privat und
7206: braucht er ja so ein ähnliches Mainzer teilweise dass man sich halt Gedanken machen muss ja wie könnte man denn das jetzt hier irgendwie so aufzulösen oder das hier hinbekommen und so also da ja eh schon schon Parallelen.
6566: Also es heißt dein dein Shop hat durchaus der große Auswirkung auf dein Privatleben Clemens.
7206: Ja ganz so schlimm ist es jetzt glaube ich nicht ich kann doch Leuten vertrauen ich kann auch noch Software Vertrauen zu einem gewissen Grad.
7206: Ja hin und wieder denkt man sich dann halt schon ja wie könnte man denn da jetzt irgendwie ja Quatsch mitmachen.
6566: Erdogan Beruf kommt von Berufung oder.
7206: Vielleicht ja.
6566: Aber wenn wir wenn wir jetzt große Komplexe Software haben es ist doch auch eine unglaublich anspruchsvolle Aufgabe diese Komplexität irgendwie zu überblicken damit du dann halt auch
6566: potentielle Probleme sehen kannst oder also wenn ich jetzt wirklich so wie du es gesagt hast du entwickelst an irgendwas und es gibt noch ein anderes Thema und es gibt eine Schnittstelle und es gibt der Abhängigkeit und so weiter und Komplexität entsteht,
6566: wie wie stellst du für dich sicher dass du genügend Überblick hast über so ein komplexes System dass du da wirklich auch fundierte ja Schwachstellen identifizieren kannst.
6566: Sprichst du da viel mit den ganzen Leuten und malst du Diagramme.
7206: Ja also wenn wenn es wenn sie groß ist unsere Software ist die ich jetzt irgendwie alleine Pen Tasten soll dann braucht man halt entsprechend Zeit und muss ich da halt dann auch entsprechend tief tief rein Knien
7206: oft hilft dann schon wenn man das ganze nicht nicht blackboxx macht sondern greybox oder waldbox also das mit dem mir zumindest
7206: Zugriff auf architekturdokumentation oder vielleicht auch den Code hat und auch Leute hat jemand irgendwie Fragen kann alles macht doch einfach so einen sonstige t-Test einfach deutlich effizienter wenn ich.
7206: Die die Leute mal fragen kann sag mal ab welche dran gedacht dass abzusichern dann brauche ich vielleicht schon mal
7206: und können wir die Stelle zeigen wo wo ich das nachschauen kann dann muss ich da nicht ewig selber Nachsuchen oder Zick Sonderfälle ab testen sondern ich sie halt Eier benutzen da das sind das Verfahren dass das passt aber jetzt nicht noch mal.
7206: AX Tonnen payload dagegen dagegen werfen und er auf implementierungs Ebene hilft weil wenn man sich einfach.
7206: An an an Standards und ja Best-Practices hält also da besuche ich immer wenn ich mit
7206: mit anderen Teams zusammen arbeite und in die Schnittstellen definiere dass man als erstes Sicherheit überlegt der was ist denn der der Standard weg und das jetzt zu machen also.
7206: Letztens habe ich mit dem anderen Team irgendwie ausgehandelt wir werden jetzt irgend authentifizierungsinformationen übergeben oder Autorisierung Information und dann,
7206: ist halt einfach keine Geld keine gute Idee sich da jetzt irgendwie selber Formate und Abläufe zu überlegen und zu überlegen wie man
7206: da jetzt hat das absichert sondern einen greifbehälter irgendwas standardisiertes Oreo aus und ob mein t-connect zurück und er weiß halt da haben sich Leute mit Gedanken gemacht zu Gedanken gemacht.
7206: Die ist da deutlich besser auskennen das haben sie heute überprüft da muss man das Rad nicht neu erfinden also dass ich da an der Stelle sehr.
6566: Ich glaube da kann man noch hinzufügen bitte keine Kryptographie selber implementieren Darm sich an.
7206: Da gilt das ganz besonders genau.
6566: Aber Hand aufs Herz das sowas schon mal gesehen über dem Projekt dass jemand zum Herrscher Algorithmus oder in Zugriff der Algorithmus selber implementiert hat.
7206: Nee zum Glück also so so druckgraphische primitiven wirklich dass das jetzt nicht als was man Daniela sieht dass das Leute versuchen irgendwie Sachen zu verschleiern also keine richtige Kupplung programmieren soll halt na ja ich versteckt es hier drin dann.
7206: Änder dann irgendwie den Dienst Ring schreiben rückwärts oder soll dann wird das schon keiner sehen oder so das will ich jetzt aber nicht als Script selber schreiben
7206: Bezeichnungen das ist noch deutlich Nidda Nidda aber zum Glück chicken selbst implementierten Hash Algorithmus noch nicht gesehen.
6566: Aber da draußen da draußen gibt's die Leute.
7206: Gibt's garantiert ja.
6566: Das sind zwei drei Prozessor Zyklen sparen können was weißt du über selber implementieren.
7206: Abschluss.
6566: Ja jetzt hast du noch ein paar Sachen erwähnt da will ich ja noch mal ein bisschen drauf eingehen um die Begriffe ein bisschen zu definieren oder ein bisschen zu spezifizieren du hast über den pentas gesprochen das ist eine Penetration Test in meiner Vorstellung ziehst du dir deinen Kopf
6566: Kaputzenpulli an die Sturmhaube kommt drüber das Brecheisen kommt auf den Schreibtisch und dann hängst du dich in irgendso st Mob da potenzielle Sicherheitslücken zusehen zu finden ist es so ungefähr
6566: die richtige Vorstellung.
7206: Eine fürs Brecheisen habe ich inzwischen der App dass Broich Broich kein kein physisches mehr der Rest ist sehr akkurat.
7206: Also gerade im Homeoffice muss ich nicht den Hoodie tragen um um zu zeigen dass ich das EQT engineer bin im Office hilft das schon.
7206: Und nein also das sind so natürlich dass dass das machen wir meistens nicht so wenn wir ein Penetration Test machen dann ist es am Anfang immer viel Abstimmung mit dem Kunden definieren
7206: ein Projektteam an zu definieren was ja ist denn überhaupt der in dir dieser hat die man testen soll wohl ziehen der Grenzen also wenn man wirklich auch,
7206: schauen kann ich in das Rechenzentrum mit einem falschen Bad und dann Leiter über der Schulter reinkommen oder wie tun wir irgendwie physikalische Security komplett komplett ausblenden das macht.
6566: Hast du sowas schonmal gemacht hast du sowas schonmal gemacht.
7206: Leider noch nicht.
6566: Cool ist das hell.
7206: Ich glaube das geht relativ.
7206: Naja bei Alba Rechenzentren auf nicht ganz so leicht aber in Büroräumlichkeiten oder andere halböffentliche Bereiche zu kommen geht glaube ich nicht sondern.
7206: Zum Leiter oder Pizzakarton Trick und relativ gut aber wenn man
7206: du mir meistens abgrenzen konzentrieren uns dann wirklich auf die Software oder auf jeden Fall Struktur auf der der sie läuft.
7206: Und besprechen dann ja was was macht die Software eigentlich das hilft immer wenn ich wenn ich verstehe was das macht die Software eigentlich die.
7206: Sicherheitslücken die dir am
7206: kniffligsten sind zu entdecken oder die Diamant wegen dem man am am 1. noch einen Menschen engagiert und das nicht automatisiert testen lässt
7206: sind ja so logische Fehler dass man irgendwie Sachen machen kann er die in dem Fall keinen Sinn machen oder dir in diesem Berechtigungskonzept keine
7206: Gültigkeit haben sollten das sind so Sachen das kriegt man automatisiert noch nicht getestet deswegen haben wir auch noch so so Menschen wie mich
7206: bist und da muss ich natürlich verstehen was was soll die Software können was wie soll man damit umgehen können und dann eben die die Fälle mit denen sie
7206: nicht umgehen kann entsprechend identifizieren zu kann.
6566: So beispielsweise sowas wie ein Unternehmen hat irgendwie einen REST API mit der
6566: ja keine Ahnung mit der die ganzen Apps vom Unternehmen oder auch
6566: hat sie die Web App Handy kommuniziert und du schaust jetzt beispielsweise ich dir diese diese API mal anschaust dass es dafür Operationen gibt und probierst vielleicht jetzt welche Daten ranzukommen für die du es nicht berechtigt bist.
6566: Sowas z.b. versus von klassische pentest.
7206: Z.b. genau das wäre eine Sache die man sich da auf jeden Fall anschauen würde und dann gibt's bestimmt Daten die darf ich halt sehen als Nutzer und das gibt Daten die darf ich nicht sehen Daten von anderen Nutzern z.b. was vielleicht darf ich ja irgendwie die ausmalen
7206: von der gleichen Gruppe sehen oder so dass in einer also Sachen die du muss man halt dann die Logik verstehen und das dann halt überprüfen wird die Bedienlogik richtig.
7206: Ungehört kann ich da irgendwie drumrum gehen und zum diese Berechtigung Überprüfungen irgendwie aushebeln.
6566: Ja da waren wir gerade zwei Beispiele eines gab doch von einer großen deutschen Volkspartei gab es doch vor zwei Jahren glaube ihr letztes Jahr gab es auch so ein Fall
6566: dass die Parteimitglieder die so an den Haustüren so diese Haustür geschäftigen Haustürgeschäfte waren.
6566: Die quasi geklingelt haben und und die Mitbürgerinnen und Mitbürger zum Wählen aufgefordert haben dass du ihn zu einem Valepp hatten.
6566: Und die haben sich dann auch so eine titzen gemacht hey wer wohnt da und hatte Lust auf die Parteien und habe auch Fotos gemacht und die Klingelschildern irgendwie so und dann hat irgendeine Forscherin ich glaub schon der deutsche Forscherin herausgefunden
6566: jo also wer wären Lust hatte und bisschen Zeit der kann diese ganzen Daten einfach so abrufen weil es da keine ausreichende Authentifizierung gibt
6566: und er mir fällt noch ein Fall
6566: Von von letztem Jahr ein da ging es um den großen Lieferdienst auch hier in Deutschland wo auch so eine REST API bestand und wenn es von
6566: wenn sich die Forscher herausgefunden dass man irgendwie 200.000 oder 300000 Datensätze von den Kunden abrufen konnte weil die Authentifizierung,
6566: naja nach meinem Verständnis gefehlt hat.
7206: Ja absolut genau zwei gute Beispiele also
7206: bei der auch von den von denselben Forscherinnen und Forschern entdeckt also die großartige Kollegin Lilith Wittmann war davor ein bei der
7206: Volkspartei öffnen Sie mal so involviert hat da ja dann auch
7206: ja große Aufmerksamkeit auf sich gezogen weil die Volkspartei das eben nicht so honoriert hat die die kostenlose Sicherheitsüberprüfung diesen da bekommen haben und.
7206: Dann danach rechtliche Schritte anstrengend wollten aber beide Beispiel oder auch das was ich dass vor kurzem erst raus kam mit denen.
7206: Gesundheits-apps die ganz ähnliche Probleme hatten das da auch irgendwie Patientendaten von.
7206: Anderen Nutzern verfügbar waren weil die Berechtigungsprüfung nicht gemacht wurden die sind alle relativ ähnlich so von der von der Art und alle Sachen die.
7206: Ohne den Kolleginnen Kollegen von der Forschung die haben das ja entdeckt ihr zu nahe zu treten zu wollen nicht irre kompliziert zu finden sind also natürlich muss man das erstmal machen und entdecken aber das ist jetzt nichts wo man irgendwie.
7206: 10 Jahre Informatik studiert haben muss und noch mal 20 Jahre als als Hacker irgendwie Praxiserfahrung gesammelt haben muss sondern das sind Sachen die können du und ich mit einem normalen Browser entdecken und das zeigt halt wie.
7206: Grundlegend gravierend die die Probleme sind die da die da gemacht wurden während während der Entwicklung an solche Sachen.
7206: Ungeschützte Endpunkte fehlerhafte Autorisierung Berechtigungen die nicht.
7206: Dazu passend zu dem was eigentlich passieren soll das sind so ganz klassische Sicherheitslücken und ganz beliebte.
7206: Probleme die auf die man achten muss.
6566: Ja das ja das ist das für dich absolut ausversehen also
6566: wenn man wenn man Zöpfe häkeln zur spricht da fallen mir halt er es holt also BZS ganz krasse Hacker geht da fallen mir so Leute ein die wirklich jahrelang Reverse Engineering betreiben um irgendwo eine Sicherheitslücke zu finden wie z.b.
6566: Der wie hießen der Typ der damals die PS3 die PlayStation 3 gehackt hat charge Houseman oder so ähnlich oder.
6566: Harzresort der der wirklich Jahre investiert hat um um eine Sicherheitslücke zu finden und
6566: lassen wir dahingestellt ob das ist gut oder schlecht war das glaube ich auch nicht klagen heißt willkommen und später gartenshop bei Apple aber das ist halt jemand der sich da wirklich durch die Antriebs durch gekämpft hat
6566: und das ist schon mal was was ganz was anderes aber das zeigt mir halt das jetzt schon dabei bei dem Beispiel bleiben dass er zum Unternehmen viszony das vom Produkt auf den Markt bringt da wohl sehr viel
6566: Arbeit investiert um hier einen sehr hohen Level von Security zu erreichen im 100% der Eistee wahrscheinlich nirgends so eine gewisse gewisse.
6566: Graubereich gibt sie immer weil bei so ein Mensch bist was ich gut finde übrigens ist so ein Mensch bist hey
6566: da merke ich halt wenn ich
6566: srap einfach vergesse komplettes Sicherheitsprüfung zu machen und das ist aber eine große Firma mit zigtausend Kunden da habe ich doch da grundlegenden Fehler.
6566: Jemand kompletten Entwicklungsprozess.
7206: Das würde ich auch sagen dazu kommt natürlich noch das die Angriffs Oberfläche der andere ist also so ne web-api ist halt einfach für jeden im Internet erreichbar
7206: eine erstmalige so eine PS3 auflöten muss und da irgendwie herausfinden mussten dann immer irgendwie eigenen Chips was da jetzt wo irgendwo ran muss damit du da irgendwie ein kommst
7206: EnEV vor der Typ bisschen bisschen mehr Fachwissen aber man sieht natürlich schon auch dass da im im Entwicklungsprozess irgendwie ja
7206: geschlampt wurde meiner Meinung nach schon zu viel Fokus auf möglichst schnell Features raus Ball angelegt wurde und die nötige Sorgfalt insbesondere wenn man halt mit
7206: nun bezogenen Daten oder besonders dann auch Gesundheitsdaten von seinen Nutzerinnen und Nutzern irgendwie arbeiten möchte außer Acht gelassen wurde.
6566: Ohne zu wissen wie es bei diesem betroffenen Firmen gearbeitet wurde ohne das zu wissen und
6566: anno mutmaßen und jetzt auch auf meine was nicht vielen Jahre Berufserfahrung zurück zurück zurück greifen ich würde bevor hypothesenraum stellen.
6566: Da gab's in ganz engen Zeitplan und ich arbeite seit vielen Jahren in agilen Projekten ohne in agilen Projekten
6566: da kann man zu 22 Linien fahren die eine Linie ist ja es ist fast fertig wir müssen wir haben ganz wenig Zeit das muss ganz schnell fertig werden oder das
6566: nächstes nicht fertig wir und wir haben erst irgendwie ich in item fertig wenn wir eine Dokumentation haben wenn wir in Security Check haben wenn wir hier noch ein anderes Ding gemacht haben erst dann ist es fertig wenn dogszone.
6566: Ausreichende Definition auf danach werde ich abgehackt haben und
6566: ich habe genug Projekte erlebt wo es soviel Zeitdruck gab und wo dann auch Witt management laufen auf dem Druck ausgeübt hat das was möglich schnell fertig wird
6566: und ich habe es glaube in der ein oder anderen Podcast vorgekommen schon mal erzählt die Geschichte ich habe mal bei einer anderen großen Firma gearbeitet und
6566: Batman riesen großes Projekt für großen großen Kunden.
6566: Und das Management gesagt nee also ich der Kunde verschwunden wäre schon super so für uns auch als Referenzkunde aber wir sind zu teuer wir können das nicht machen wir müssen gucken was wir noch wegstreichen können.
6566: Ist erstmal ganz vernünftig finde ich du kannst dein hey wer mir 50 Features und das ganze kostet jetzt 1000000 Euro für die 50 Features so geschätzt wir streichen 20 Features weg dann brauchst du es nur noch 600000 € ist billiger
6566: funktioniert voll gut wenn du Angela arbeitest funktioniert ja nicht super gut du hast ja deinen Berg Blog
6566: die meisten Sachen sind unabhängig voneinander was wir damals gemacht haben und mir meine ich natürlich die war einfach komplett alles was in die Qualitätssicherung angeht haben alles rausgestrichen.
7206: Super.
6566: Da hat man es entwickeln viel Geld also viel Geld gekostet und es hat gar nicht funktioniert.
7206: Ja das glaube ich gerne.
6566: Weil das sehr jung.
7206: Ja ja.
7206: Security schon auch manchmal dass man halt irgendwie so einen Einsatz hatte irgendwas wegstreichen das ist zu teuer in Security ist mach mal halt so nebenher an sondern.
6566: Ihr seid ihr seid doch Experten ihr seid doch Experten also kommt ihr habt alles.
7206: Achso ja.
6566: Ihr habt alle studiert da erwarte ich das.
7206: Und ganz einfach ist es halt leider nicht und.
7206: Ich glaube dass das hängt auch einfach mit einer Priorisierung zusammen hast ja vorhin gesagt also ich glaube nicht dass in in all diesen Teams wo jetzt hat diese Sicherheitslücken die wir gerade diskutiert haben.
7206: Schlechter Entwickler sitzen oder dass die das einfach nicht können und unfähig sind oder so sondern wurden halt einfach Prioritäten auf.
7206: Schnell Markteintritt oder schnell neue Features oder vielleicht auch tieferliegend irgendwie auf auf Performance und.
7206: Maintainability oder sonstwas gelegt und und eben diese curity im Nachhinein dann falsch priorisiert und dann nicht mehr und geduckt beachtet.
7206: Das ist halt gerade in agilen Projekten dir sehr Feature getrieben sind natürlich dann noch mal schwieriger irgendwie dann die Security im Auge zu behalten und.
7206: Ja ausreichend Raum eben in einem agilen Sprint irgendwie ein Traum.
6566: Ja also was soll das sagst dass es dass es fähig Entwickler Entwickler in sind Jagd das glaube ich auch also ohne zu wissen wie gesagt wäre es ist ich glaube solche Probleme sind immer Prozess Probleme ich glaube dann immer strukturelle Probleme darf am Ende nicht so sein wenn du im Team hast wo größer als 1 ist
6566: dann kann ich eine Einzelperson daran Schuld sein also nehmen wir mal an die eins es gibt keine Einzelperson die mit Absicht was sabotieren möchte
6566: das ist was anderes wenn der blackhead Hacker vielleicht bei dir im Team ist mit Absicht Sicherheitslücken einbaut und so gut ist dass es keiner merkt geschenkt okay das ist ja was anderes aber wenn Produkt fertig ist und man sagte bitte ja aber der Clemens hat so schlecht programmiert der hatte einen Fehler gemacht und deswegen haben wir es ein Problem
6566: sowas darf nicht passieren.
7206: Ja absolut Recht ich habe ja eine Sache die mehr Leute denken müssen und die mehr aber wo mehr drauf achten müssen und das stimme ich dir zu.
6566: Er hat mir fällt dann noch ein Beispiel ein Hey heute Fall Mandala Beispiele ein.
6566: Letztes oder vorletztes Jahr ist hier in Deutschland diese große Impfkampagne gelaufen oder gestartet ist da gab's auch solche Portale glaube ich auch Fütterer jedes Bundesland durch ein eigenes gehabt
6566: manchmal besser manche manche haben fünf haben nicht funktioniert und da gab's ich glaube irgendwo
6566: boah ich habe es nicht mehr 100% dem Kopf ich würde mal sagen Düsseldorf Dortmund NRW da gab es in den größeren Ausfall.
6566: Uns das Unternehmen dass das entwickelt hat hat dann irgendwie eine Pressemitteilungen Interview gesagt
6566: ja das war wohl eine einzelne Mitarbeiterin die das verbockt hat und die hat dann auch geweint und so ich glaube man hat mit Müh und Not der Name nicht genannt da dachte ich Papa was das für eine Scheiße also wenn ich in der Firma arbeite ansteht habe ich einen Fehler gemacht.
6566: Und mein Chef sagt dann ja also da gab's nur eins der Mitarbeiter der hat es komplett verborgt und als du den zur Rede gestellt haben hat er angefangen zu weinen
6566: was bedeutet E-Mail-Adresse noch machen außer gekündigt.
7206: Ja da kann man nur hoffen dass du es einfach irgendwie mit eine schlechte Entschuldigung oder eine schlechte Ausrede sein sollen dass das nicht wirklich so ablief aber wenn da wenn das wirklich so ist unfassbar.
6566: Ja am bei uns hat hoffentlich noch nie jemand geweint war ein Fehler passiert ist in meiner Gegenwart haben schon Kollegin und Kollegen geweint.
6566: Aus Freude weil was lustig war aber das ist auch das ist auch gewollt zu Clemens
6566: wenn du zurück denkst dann die letzten 4 Jahre in deiner Rolle als Security engineer
6566: was sind denn so die Klassiker an Federn und dann Sicherheitslücken die du ins Software entdeckst dann denen an der du beteiligt bist irgendwie gibt's da vielleicht so eine Top 3 wo du es sagst
6566: hast du was passiert ganz oft und hey ihr da draußen wenn ihr vielleicht keinen Security engineer bei euch im Team habt aber das sind vielleicht solid 34 Sachen da sollte der vielleicht zwar mal draufschauen um einfach ja Ärger zu vermeiden oder Probleme zu vermeiden.
7206: Also auf auf Ebene der Sicherheitslücken sind
7206: die Klassiker bestimmt dass das war gerade schon besprochen haben mal so fehlerhafte Authentifizierung fehlerhafte Autorisierung das sieht man immer wieder das Berechtigungen falsch oder nicht nicht umfassend genug
7206: geprüft werden das
7206: in Authentifizierung alles was drumrum ist im Passwort zurücksetzen Prozess im Registrierungsprozess das da Fehler drin sind das sieht man schon immer wieder
7206: viel spannender finde ich dann aber quasi so die.
7206: Tippfehler oder ich würde eher mal Probleme nennen die man auf bisschen höherer Ebene sieht die jetzt nicht jedesmal direkt in in einer Sicherheitslücke Münden müssen die aber einfach.
7206: Ja keine best-practice Sinn und
7206: die man auf jeden Fall besser machen soll also zu sagen wie wie gehe ich denn mit meinem secret oben im Entwicklungsprozess also wo
7206: liegen die Werder Zugriff drauf wie kommen die in die anwendung rein die Hand habe ich das da keiner sonst drauf Zugriff hat das denn so Sachen die die
7206: kommen in vielen Entwicklungsprojekten immer wieder vor und das hat er ja auch ne Sachen wo es noch keine richtige best-practice gibt und wo es immer sehr auf das konkrete Projekt er ankommt wie man das jetzt hat technischen organisatorisch
7206: am umsetzen kann oder auch so Sachen wie eine passende Nachvollziehbarkeit und und Überwachung der Anwendung also.
7206: Dass man die Anwendung im Betrieb irgendwie monitord ist schon eine sehr wichtige Sache aber das man auch irgendwie sich mal überlegt.
7206: Würde ich ihn jetzt mitbekommen wenn ein Hacker irgendwie versucht unsere Anwendung Zecken also kriege ich das nur mit wenn das irgendwie Bruteforce macht und mein Server irgendwie in die Knie geht und oder ist irgendwie ein DDoS-Angriff ist oder.
7206: Ich das vielleicht auch schon früher mit wenn wenn Nutzer irgendwie ist das sucht Sachen zu machen die dir nicht nicht sollen können soll das sind so so Sachen.
7206: Dich oft sehe an die dir auf vergessenwerden überlege ich mal ob mir noch ein dritter einfällt.
7206: Waren dann noch als drittes.
6566: Komm guter dritter.
7206: Guter guter dritter.
6566: Guter dritter Klasse und seine Brüder ja das passiert oft.
7206: Oder als als Tipp das Beispiel vielleicht noch wie handhabe ich meine dependencies im Projekt also immer eine gute Ideen mich nicht jeden Couch selber von Hand zu schreiben sondern sich da
7206: Bibliothek kannst Fanbox zu holen die die das vielleicht besser können
7206: aber dann muss ich halt auch schauen dass ich die aktuell halte dass ich sie auch passend auswähle von Anfang an dass ich da keine NPM Library nehme
7206: Aldi bewusst von jemanden da platziert wurde damit es später irgendwie ausgenutzt werden kann sondern dass das sinnvoller Abhängigkeiten sind und dass ich halt auch mitbekomme wie es seit dem letzten
7206: sind aber noch vor Verzehr haben dass ich mitbekomme was habe ich denn jetzt für eine Software überhaupt im Einsatz des irgendwie schnell herausfinden kann und das dann auch passend passen patchen kann solche Sachen.
7206: Namen werden oft irgendwie vernachlässigt gerade dann wenn man irgendwie scheinbar mit dem Projekt fertig ist und sagt es läuft das ja eher da Überblick zu haben Sachen zu aktualisieren und dann zu patchen.
7206: Das wird oft irgendwie nicht mit Bedacht.
6566: Na das glaube ich gern also gerade ich kenne halt gerade zu Java dependencies
6566: was ist mit Unterhalt auch super super complex wenn du so tust independence Edith wieder 20 dependencies und dann ist es glaube ich schon schwierig den Überblick zu behalten
6566: Blockpartei kommt noch dazu ich glaube für die meistens ist es schon mit seinem Blog fertschey zu konfigurieren.
7206: Ja einfach rauswerfen das war ja meistens der der
7206: Meister der leichtere Weg zum ist Hermes in meinem Projekt du machst es geht aber natürlich auch nur wenn man wirklich noch Quatsch als echte dependency in seinem chawer Projekt hat sie schlimmer waren ja so die ganzen.
7206: Programme die auf Java basierende
7206: ganzen Apache Produkte z.b. er wo irgendwo chaba unter der Haube drin ist und wahrscheinlich auch irgendwie log4j wo benutzt wird aber das dann erstmal rauszufinden und dann schmeiß das halt nicht einfach raus oder da musst du schauen dass alles im Blick zu behalten das war schon
7206: schon herausfordern.
6566: Ja ich erinnere mich auch die letztes Jahr oder in oder vorletztes Jahr gab es auch immer wieder mal Fälle polnische NPM Paket dann so feindlich übernommen wurden und wurde ein Sicherheitslücken drin war und wo man teilweise die Leute gar nicht wussten dass sie diese dependency haben weil die über über über 20 hab's noch irgendwie drin war
6566: ja ja damals als wir uns doch über die DLL hell bei Windows aufgeregt haben gesagt haben so ein Mist das ist nächste Komplex.
7206: Aber im Perm erfunden.
6566: Das war das schöne Zeiten damals.
6566: Ja und abgesehen davon hast du vielleicht auch Best-Practices oder die anspannt Erkenntnisse was was Prozesse angeht Entwicklungsprozesse.
6566: Oder die Integration von Security in Entwicklungsprozesse wenn man eben jetzt nicht gerade und dedizierten Security engineer zur Verfügung hat.
7206: Also shift left ist ja so ein berühmter Grundsatz bei der Integration von Security und das kann man auch auf mehreren Ebenen quasi Einsatzleiter shift left im Entwicklungsprozess wenn man den von links nach rechts zieht in
7206: einer linearen Form den man dann halt in.
7206: Die Projekten halt irgendwie immer wieder iterativ durchführen aber erstmal quasi so die klassischen schritte Konzeptionierung Implementierung testen Betrieb und dass man da eben schaut sie cutie möglichst weit links
7206: im Prozess einzubauen und möglichst in die in jedem Schritt Schmidt.
7206: Arbeitsabend und dass du wohl irgendwie auf na das nenne neben Nase dass der Security engineer von Anfang an mit dabei ist von Anfang an irgendwie Topmodel für die entwickeln Software entwickelt.
7206: Andi die Berechtigungen mich richtig mit Planen bei der Implementierung dabei Silvius macht Test schreib eine automatisierte Tests vor allem.
7206: Durchführt und dann auch den Betrieb begleitet aber auch auf technologischer Ebene dass man halt versucht schon von Anfang an irgendwie Tools einzusetzen die an die Arbeit.
7206: Ähm erleichtern dass man gar keine Stick wird erst eincheck z.b. dass man das da schon früh gemerkt haben dass man
7206: ambars ein Stories auch schon dran denkt dass man vielleicht nicht nur User Stories schreibt sondern auch ab User Stories also sich explizit Gedanken macht das könnte man Angriffe denn machen und was soll er eben nicht kommen also ein nach dem Motto MLK
7206: i want to but I can't nach dem Motto das hilft,
7206: weil dann hat man quasi die Security Equipment in den normalen agilen Entwicklungsprozess irgendwie gepackt und kann dann all die anderen Sachen die man ja für User Stories schon gut macht nämlich irgendwie die Nachverfolgbarkeit dort aber auch irgendwie so die.
7206: Abbildung dann innen in test cases sowohl automatisiert als auch vielleicht.
7206: Am Strand kann man dann quasi alles analog machen und dann neben diese App User Stories da genauso nach.
7206: Nach Ziehen alle das funktioniert da auch ganz gut.
6566: App User Story kommt von abuse und ich vom App User oder.
7206: Das ist manchmal nicht ganz trennscharf aber genaueres oder miss you ist das natürlich bisschen besser genau er.
6566: Das hat gerade gedauert aber klar mobile-first da war bei mir.
7206: Mobile first.
6566: Der eppure ist ja natürlich direkt präsentiert.
6566: Aircooler sagt zum Schluss sind Clemens was glaubst du denn wohin der Trend geht im Bereich Security hast du da vielleicht ne Idee für die nächsten ein zwei drei Jahre.
7206: Also man sieht ja dass das Security gefühlt immer wichtiger wird und ich glaube das lässt sich auch auch quantifizieren
7206: den Stellen z.b. dem im Bereich Security engineering z.b. offen sind.
7206: Mehr Software entwickeln und betrieben wird dass du mehr muss man da auch irgendwie aufs of security erachten und.
7206: Die mehr Geld indem in der ganzen Sache steckt desto höher ist und die andere als ich die Angreifern desto mehr muss man sich natürlich auch auf der Fanseite drum drum kümmern.
7206: Das heißt es wird.
7206: Einen höheren Bedarf geben und ich glaube dass man den nicht immer durch Security engineers die mich decken kann deswegen ist ein großer Trend dass man das Thema eben die Breite trägt das mit der Wanderschaft Entwicklerin der Entwickler
7206: haben in der Lage sind an Sachen selber zu denken auch Sachen selber zu testen und zu zu verstehen und nicht immer auf eine Security engineer angewiesen sind der sie natürlich gerne begleitet aber das vielleicht nicht immer kann
7206: auf deiner Seite das ist halt auch technologische Verbesserungen gibt dass man die Entwicklerin Entwickler beim Entwickeln schon unterstützen kann.
7206: Durch statische codeanalyse dynamische codeanalyse dass man ihnen hilft besser einen Code zu schreiben dass auch die automatisierte Testbarkeit besser werden sichern,
7206: nie soweit kommen dass man menschliche Security Tester komplett ersetzen kann dafür ja gibt es einfach
7206: zu viele Schwachstellen die man die man nicht automatisiert testen kann aber es erleichtert natürlich.
7206: Die die Arbeit insbesondere in der in der schnellen Entwicklungsprozesse.
7206: Nach jedem sprinten 1 2 3 wir schicken könntest machen will dann ist das
7206: völlig illusorisch wenn ich aber eine gut gepflegte Test Base habe und noch ein paar automatisiert kenne hat die nicht so viele False-Positives werfen.
7206: Am integriert habe dann kriege ich damit Aufnahmen ja.
7206: Wöchentlichen oder zwei wöchentlichen Basis schon mal viel abgefrühstückt und kann ich dann halt als
7206: 1. auf die spannenden komplizierter dann Fälle konzentrieren also ich glaube so die zwei Sachen so weitergehen der Automatisierung und ne
7206: ja wenn Veränderung in der Auvergne ist und auch so ein bisschen in der
7206: in der Kultur also dass man das noch mehr als Bestandteil des regulären und und umfassen Entwicklungsprozesses begreift und eben dieses Deck von diesem
7206: nein sagen denn Security Team das von extern kommt geht das sind glaube ich die zwei Trends die.
7206: Die schon sehe und die die sich mal weiter verstärken werden.
6566: Na finde ich finde interessant ich finde so ein bisschen Ergänzung zu der Wellness für Security ist in dem Kontext sicherlich auch die avernes überhaupt für Daten und für Datenschutz
6566: war für mich gefühlt früher auch immer so ein Thema wo man so ein bisschen besser alte geschoben hat weil es genervt hat finde den letzten Jahren das ist zumindest für mich verändert ich glaube auch die allgemeine Wahrnehmung für für Daten und für Datenschutzaufsicht.
6566: Verändert vielleicht auch ein bisschen durch die dsgvo und vielleicht auch durch das Bewusstsein dass unsere Daten auch erfahren was wert sind und ich glaube
6566: die Firma haben sie schon lange verstanden dass Daten sehr sehr wertvoll sind vor allem die ganzen datengetriebenen Unternehmen unter.
6566: Na ja klar mit mit guter Security kannst deine Daten gut beschützen also dass das ergänzt sich dann ja auch richtig gut.
7206: Absolut also Datenschutz gab es ja vor der dsgvo und natürlich auch schon aber durch die die Bußgelder und
7206: dem ja auch die vielen Missverständnisse und Diskussionen dazu in.
7206: In den Medien hat das Thema noch mal einen Schub bekommen und hängt natürlich eng mit mit Security zusammen schafft dadurch auch erwehren dass dafür dass man halt Nutzerdaten sichern muss nicht nur weil sie irgendwie
7206: timer ist Geschäftsmodell seine oder irgendwie ja ist es sich nicht gehört die die Adresse meiner Nutzer irgendwie ins Internet zu stellen sondern auch weil halt empfindliche Bußgelder trunken zurecht
7206: Spieltag jeden Fall mit rein.
6566: Ja was hat auch für ein Unternehmen einfach eine super schlechte Publicity ist wenn wenn du morgen in der Zeitung liest
6566: das 300 Millionen Datensätze in dem Internet offen verfügbar sind dass mein eigener dabei meine Adresse Bankverbindung et cetera
6566: was macht er denn für einen schlechten Eindruck.
7206: Das will man nicht absolut ja.
6566: Clemens vielen Dank das war super interessant,
6566: aber heute bist du mit ihr was ich höre dir zu sprechen vielen Dank dass du da warst wir können uns sehr gerne noch bei anderer Gelegenheit noch mal unterhalten über vielleicht ein paar ja vertiefende Themen 30.
6566: Also ich würde dich noch mal interessieren was du wirklich machst wenn du jetzt die Sturmhaube aufsetzt und dann mal wirklich wirklich so Hacker mäßig im Darknet unterwegs bist.
7206: Wir haben bisher ja nur über den den Arbeitsplänen Star am Tage gesprochen genauer vielleicht schaffe es an anderer Stelle noch mal über den den Clemens der Nacht zu reden.
6566: Der Selter der vermummte eventuell reicher das wird sich dann herausstellen ja da freue mich auf jeden Fall drauf Clemens vielen vielen Dank dafür.
7206: Sehr gerne danke dir.
6566: Falls Ihr Feedback habt dann erreichte mich per E-Mail unter broadcasted in uvex.de und ansonsten könnt ihr uns unter euch sehr gerne auf unseren sozialen Kanälen folgen beispielsweise auf Instagram oder bei LinkedIn
6566: und wir hören uns in zwei Wochen wieder ich sagte der Stelle mal tschüss und bis zum nächsten Mal.
00:56:18: Intro
Neuer Kommentar