Cybersicherheit und Secure Software Engineering

Motivation:

• Fehler in Securityprimitiven und deren falsche Anwendung führen regelmäßig zu IT-Sicherheitsproblemen
• Beispiele: Heartbleed, Adobe Passwort Datenbank

Merkmale moderner Softwareentwicklung:

• Welche Anforderungen haben wir heute, welche Sicherheitsprimitiven sind essentiell?
• von monolitischer Software zur Modularisierung --> das App-Paradigma baut auf Interaktion; eingeführt durch Smartphones
  • starke Vernetzung mit externen Services
  • Sicherheitsaspekte wie Zugriffsschutz von Interfaces haben inzwischen große Bedeutung
  • Zu Unterscheiden sind hier App to App Communication und App to Service Communication
  • 100% Sicherheit nicht zu erreichen -> Zielsetzung: Denkanstöße für neue Testcases/scenarien geben

App to App Communication

• aktuelle Probleme und wie sie gelöst wurden, wie können wir diese in der Zukunft vermeiden?                

App to Service Communication

• aktuelle Probleme und wie sie gelöst wurden, wie können wir diese in der Zukunft vermeiden?
• Beispiele für App-Developer Fehler (Lösungshorizont ist Usable Security für Developer, Teil aktueller Forschung) sowie Library-Developer Fehler

Kurztutorial für SSL Code - Wie validiere ich Zertifikate korrekt - Zertifikat pinning         

Conclusion

• Früher Secure Programming, Buffer Overflows vermeiden etc.
• Heute zusätzlich: Querdenken, welche Probleme können APIs und Libraries direkt haben (Zugriffsschutz, Verschlüsselung der Kommunikation, Authentifikation), welche Funktionen bieten sich dafür an, dass sie von Entwicklern anders verwendet werden als gedacht?

zurück zum Programm