About this episode
In dieser ersten Folge zum Thema Cyber-Cyber halten wir uns so lange mit der Einführung von Grundbegriffen auf, dass am Ende die Entscheidung fällt, den Rest auf Episode 51 zu verschieben. Betrachtet euch hiermit als angeteasert!Shownotes
Die drei wichtigsten Dinge, die Experten über Software-Sicherheit wissen:
Software ist unglaublich unzuverlässig und unsicher.
Nein, wirklich, ihr könnt es euch nicht vorstellen.
Es ist sogar noch schlimmer als das.
Matt Blaze auf Twitter (Achtung: zweiter Link geht zu einer Domain von Elon Musk)
Vorbemerkung: für offensive und defensive Computernutzung wird regelmäßig der Wortteil "Cyber-" verwendet (z.B. "Cyberangriff", "Cybersicherheit")
in IT-Kreisen, insb. im CCC-Umfeld, gilt "Cyber-" als Schibboleth für Leute, die von IT keine tiefgehende Ahnung haben (siehe z.B. "Unsere Cyber-Cyber-Regierung")
wir bleiben deswegen sicherheitshalber bei "IT-Angriff" :)
Grundlage: Sicherheitslücken ("Fehler in einer Software oder einer Hardware, durch [die] ein Programm mit Schadwirkung oder ein Angreifer in ein Computersystem eindringen kann")
siehe STP037: heutige berühmte Softwarefehler sind meist Sicherheitslücken (z.B. Heartbleed, wie in STP037 besprochen)
siehe STP039: handwerkliche Fehler in der Authentifizierung oder Autorisierung ergeben meist besonders gut ausnutzbare Sicherheitslücken (siehe gerade neulich Azure AD)
siehe STP045/STP047: Grundlage vieler Sicherheitslücken sind Speicherverwaltungsfehler (z.B. Pufferüberlauf, wie in STP047 besprochen)
Sicherheitslücken werden aktiv gesucht, entweder von "Whitehats" (Sicherheitsforschern oder den Red-Teams der Softwarehersteller selbst) oder von "Blackhats" (die die Lücken für tatsächliche Angriffe ausnutzen wollen oder an Angreifer verkaufen wollen)
bekannte Sicherheitslücken werden in der CVE-Datenbank ("Common Vulnerabilities and Exposures", dt. "Bekannte Schwachstellen und Anfälligkeiten") geführt (z.B. Heartbleed ist CVE-2014-0160)
zweiter Schritt: Exploit (eine systematische Methode, um eine Sicherheitslücke auszunutzen)
auch
