La sécurité des logiciels est dans un état précaire (et cela pourrait nous causer des problèmes)
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger réel que représente notre mode de vie de plus en plus numérique lors de l'échange d'informations personnelles. Après tout, nous nous trouvons dans un domaine largement non réglementé, non supervisé et heureusement ignoré. Nous sommes dans un contexte complexe.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger réel que représente notre mode de vie de plus en plus numérique lors de l'échange d'informations personnelles. Après tout, nous nous trouvons dans un domaine largement non réglementé, non supervisé et heureusement ignoré. Nous sommes dans un contexte complexe.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger réel que représente notre mode de vie de plus en plus numérique lors de l'échange d'informations personnelles. Après tout, nous nous trouvons dans un domaine largement non réglementé, non supervisé et heureusement ignoré. Nous sommes dans un contexte complexe.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger réel que représente notre mode de vie de plus en plus numérique lors de l'échange d'informations personnelles. Après tout, nous nous trouvons dans un domaine largement non réglementé, non supervisé et heureusement ignoré. Nous sommes dans un contexte complexe.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger réel que représente notre mode de vie de plus en plus numérique lors de l'échange d'informations personnelles. Après tout, nous nous trouvons dans un domaine largement non réglementé, non supervisé et heureusement ignoré. Nous sommes dans un contexte complexe.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
