Reinventing Quality

ERROR: Content Element with uid "4610" and type "dce_dceuid16" has no rendering definition!

Motivation:

  • Fehler in Securityprimitiven und deren falsche Anwendung führen regelmäßig zu IT-Sicherheitsproblemen
  • Beispiele: Heartbleed, Adobe Passwort Datenbank

Merkmale moderner Softwareentwicklung:

  • Welche Anforderungen haben wir heute, welche Sicherheitsprimitiven sind essentiell?
  • von monolitischer Software zur Modularisierung --> das App-Paradigma baut auf Interaktion; eingeführt durch Smartphones
    • starke Vernetzung mit externen Services
    • Sicherheitsaspekte wie Zugriffsschutz von Interfaces haben inzwischen große Bedeutung
    • Zu Unterscheiden sind hier App to App Communication und App to Service Communication
    • 100% Sicherheit nicht zu erreichen -> Zielsetzung: Denkanstöße für neue Testcases/scenarien geben

App to App Communication

  • aktuelle Probleme und wie sie gelöst wurden, wie können wir diese in der Zukunft vermeiden?                

App to Service Communication

  • aktuelle Probleme und wie sie gelöst wurden, wie können wir diese in der Zukunft vermeiden?
  • Beispiele für App-Developer Fehler (Lösungshorizont ist Usable Security für Developer, Teil aktueller Forschung) sowie Library-Developer Fehler

Kurztutorial für SSL Code - Wie validiere ich Zertifikate korrekt - Zertifikat pinning         

Conclusion

  • Früher Secure Programming, Buffer Overflows vermeiden etc.
  • Heute zusätzlich: Querdenken, welche Probleme können APIs und Libraries direkt haben (Zugriffsschutz, Verschlüsselung der Kommunikation, Authentifikation), welche Funktionen bieten sich dafür an, dass sie von Entwicklern anders verwendet werden als gedacht?

 

Dr. Sebastian Gerling

Dr. Sebastian Gerling ist seit 2012 administrativer Leiter des Center for IT-Security, Privacy and Accountability, kurz CISPA.
Das CISPA ist ein vom BMBF gefördertes Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes und hat sich in den letzten vier Jahren zu einem der führenden Forschungsstandorte für IT-Sicherheit in Europa entwickelt. Sebastian Gerling hat in Saarbrücken Informatik studiert und 2014 bei Prof. Backes zum Thema „Trust and Privacy“ im Kontext von mobilen und Websystemen promoviert. Vor seiner Promotion beschäftigte er sich intensiv mit First-, Second-, und Third-Level Support für Forschungs- und Verwaltungs-IT in der Max-Planck-Gesellschaft.
Seit 2012 ist er nebenberuflich als IT-Security Consultant tätig.