30. Mrz 2017
XITASO Tech Talk: Web Application Security
Beim heutigen Tech Talk sprach vor uns Hendrik Pilz von hepiSEC.
Mit Beispielen und Erfahrungswerten brachte er uns dieses komplexe Thema näher und sensibilisierte die Zuhörer für die Bedeutung von Security für jeden einzelnen Entwickler.
Hendrik Pilz
IT Sicherheitsberater, -trainer und Softwareentwickler
Als selbstständiger Unternehmer und Gründer von hepiSEC bietet Hendrik Pilz Sicherheitslösungen für Unternehmen rund um Web, IoT und Mobile an.
Der Trend der Verbrauchergegenstände, die eigenständig mit dem Internet kommunizieren können, steigt beständig an. Während Unternehmen die bequemen Möglichkeiten der Remote-Wartung wahrnehmen, freuen sich Verbraucher über Möglichkeiten, ihre Geräte in ihr SmartHome integrieren zu können. Die Gefahren, die damit einhergehen, sind uns als Entwickler bekannt. Ob automatisierte Schadcodes, Malware, DDoS, gezielte Angriffe auf Datenbanken oder das Mining von Metadaten – sobald ein Gerät über eine Schnittstelle mit dem Internet verfügt, um mit seinem Webserver zu kommunizieren, ist es für diese Probleme anfällig.
Hendrik Pilz veranschaulichte diese Problematik anhand eines aktuellen Beispiels: ein Geschirrspüler von Miele, der anfällig für einen Directory Traversal Zugriff ist. Befindet sich der Geschirrspüler also im lokalen Netz, ist es möglich, Befehle von außerhalb auf dem Gerät auszuführen und somit die Firewall zu umgehen. Und uns zeigt das einen einfachen Fakt: Jede Anwendung mit Internetzugang ist in gewissem Maß sicherheitskritisch.
In den darauffolgenden Minuten brachte Hendrik uns mögliche Strategien zur Vermeidung von Sicherheitslücken näher. Dafür stellte er OWASP vor, die Free and Open SoftwareSecurity Community. Diese stellt in regelmäßigen Abständen (aktueller Stand 2013) eine Liste der Top 10 Sicherheitslücken und die dazugehörigen Lösungen vor. Dabei sprachen wir auch über CSRF (Cross Site Request Forgery), XSS (Cross Side Scripting), Kryptografie, Vertrauenswürdigkeit von Daten und Funktionen mit Exploit Charakter.
Die beste Möglichkeit, Sicherheitslücken vorzubeugen, ist, eine gewisse Sensibilität bei jedem einzelnen Entwickler zu erzeugen. Wir müssen uns der Risiken bewusst sein, damit wir im Team mögliche Lösungen diskutieren können und auch unsere Kunden über diese Risiken informieren und beraten können. Die meisten Lücken entstehen aus Fahrlässigkeit und Unwissen. Um dies zu vermeiden, ist es wichtig, dem Thema Sicherheit ständig Aufmerksamkeit zu schenken und sich als Entwickler über aktuelle Lücken, neue Schadprogramme und sicherheitskritische Themen ständig auszutauschen und zu informieren.
Take home message:
Mithilfe des Tech Talks hat uns Hendrik Pilz viele potenzielle Sicherheitsrisiken gezeigt und uns erneut für diese sensibilisiert. Unser bestes Mittel dagegen ist Wissen – das Wissen, sie zu umgehen und von vornherein zu vermeiden.
- Jede Anwendung ist eine sicherheitskritische Anwendung
- Keine Anwendung ist jemals zu 100% sicher