Die DeepSec In-Depth Security Konferenz bietet neben Vorträgen zum Versagen von Sicherheitsmaßnahmen dieses Jahr einen Workshop für das Finden von Schwachstellen an. [...]
Das Testen von Software im Rahmen der Qualitätssicherung reicht in der modernen, vernetzen Welt leider nicht mehr aus. Die Vorsilbe „Smart“ ändert nichts an bestehenden Schwächen. Der Kurs auf der DeepSec InDepth Security Konferenz für das Finden von Schwachstellen richtet sich daher an Fachkräfte, die bereits in der Entwicklung arbeiten, und Sicherheitsexperten, um gezielt die Entwicklung sicherer Produkte in Industrie und Unternehmen zu stärken.
Komplexe Technologien und ihre Fehleranfälligkeit
Moderne Produkte kommen nicht erst seit der Geburt des Internet-der-Dinge nicht ohne Software aus. Fügt man Vernetzung und eine hohe Komplexität der Einzelteile hinzu, so ist dies ein Erfolgsrezept für Fehler. Natürlich gibt es oft eine Qualitätssicherung und Prüfungen auf die wichtigsten Funktionen, jedoch ist die Folge von schwerwiegenden Fehlfunktionen durch den Umfang der Codezeilen eine Frage der Statistik. Wie können sich Hersteller und Entwickler helfen? Zieht man die mathematische Spieltheorie zu Rate, so ist die Antwort: Kopfgeld für Fehler – Bug Bounties als Belohnung.
Organisierte Jagd nach Softwarefehlern
Die Bug-Bounty-Programme wurden vor einigen Jahren als feste Institution ins Leben gerufen, um einerseits Sicherheitsforschern und -forscherinnen die Möglichkeit zu geben, ihre Arbeit beim Finden und Suchen von Fehlern zu würdigen. Auf der anderen Seite regelt ein solches Programm automatisch den Ablauf wie kritische Fehler gemeldet, dokumentiert, reproduziert und seitens der zuständigen Entwickler und Entwicklerinnen behoben werden. Es gibt leider immer noch sehr viele Hersteller, die nicht auf gemeldete Fehler reagieren und keine Updates zur Verfügung stellen. Das Anbieten von Bug Bounties spricht daher für das Engagement eines Unternehmens und sichert die Qualität der eigenen Produkte. Obendrein erfährt man dann vom Versagen des eigenen Produkts nicht aus der Presse oder aus dem Internet.
Der große Vorteil ist die gute Qualität der Fehlerberichte. Fehler-in-Software-finden ist das tägliche Brot der Softwareentwicklung, aber kritische Schwachstellen, die ein Sicherheitsproblem darstellen, erkennt man oft nicht sofort. Die Informationssicherheit ist ein interdisziplinärer Bereich der Informatik, welche Fähigkeiten in Softwareentwicklung, Mathematik, Reverse Engineering (sprich die Nachkonstruktion einer Applikation oder eines Protokolls) und viel Geduld erfordert. Dazu ist fundiertes Wissen, ausreichend Erfahrung und eine gezielte Ausbildung erforderlich, die nicht alle im Entwicklungsteam besitzen.
Die Bug-Bounty-Programme werden sehr gut angenommen. HackerOne, eine Plattform zur koordinierten Publikation von Schwachstellen, führt Buch über die Ausschüttungen an Entdeckern von Fehlern. Derzeit wurden in Summe über 20 Millionen US-Dollar an Forscher von verschiedenen Firmen ausgezahlt. Das erklärte Ziel ist das Erreichen von 100 Millionen US-Dollar bis 2020.
Ausbildung zum Bug-Bounty-Hunter
Dies diesjährige DeepSec-Sicherheitskonferenz hat einen zweitägigen Kurs zum Thema Bug Hunting. Der Trainer Dawid Czagan, selbst unter den Top 10 der Bug-Hunter-Liste von HackerOne, hat ein Curriculum ausgearbeitet, das Fortgeschrittenen mit Kenntnissen von Praktiken der Softwareentwicklung die Ansätze und Denkweise von Sicherheitsexperten beibringt. Teilnehmer lernen wie die vielen Teile von modernen Anwendungen wechselwirken, wo man in Protokolle zur Analyse einsteigt und worauf man achten muss. Da viele Arbeiten mittlerweile über Weboberflächen stattfinden, sei es sichtbar für den Benutzer oder unsichtbar hinter den Kulissen, wird die Webtechnologie der Fokus des Kurses sein. Dabei geht es nicht nur um die Kopfgeldjagd.
Der Workshop besteht nicht nur aus trockener Theorie. Dawid Czagan hat Fallbeispiele aus produktiven Umgebungen vorbereitet, um die verschiedenen Klassen von Fehler zu illustrieren. Der komplette Kurs ist eine Mischung aus kurzem Vortrag zur Erklärung gefolgt von praktischen Übungen, um das neu erworbene Wissen zu festigen. Die vermittelten Fähigkeiten sind eine wertvolle Ergänzung für jede Qualitätssicherung und eine gefragte Weiterbildung für Entwickler und Entwicklerinnen. Die Veranstaltung richtet sich gezielt an Sicherheitsforscher, Penetration Tester, Consultants, Projektleiter/Entwickler aus der Softwareentwicklung und IT-Architekten, die grundlegende Designs entwerfen, auf dem Anwendungen und Systeme aufbauen.
Die Angreifer haben diese Mittel schon. Es wird Zeit, dass Sie aufholen. Vernetzte Systeme schlafen nie.
Programm und Buchung
Die DeepSec-Konferenztage finden am 29. und 30. November, die Trainings an den zwei vorangehenden Tagen, dem 27. und 28. November, statt. Der Veranstaltungsort ist das Hotel „The Imperial Riding School Vienna – A Renaissance Hotel“ in der Ungargasse 60, 1030 Wien.
Interessierte finden das aktuelle Programm hier. Tickets für die Konferenz und die Trainings können unter https://deepsec.net/register.html bestellt werden.
Das Blog der Konferenz mit Informationen und Hintergründen zu den Vorträgen und dem Workshop gibt es unter https://blog.deepsec.net.
Be the first to comment