Sicherheit, ja gerne, aber ...

Veröffentlicht auf 19. April 2018

Sicherheit geht uns alle an, denn betroffen sind wir alle. Die Einstellung vieler Menschen ist aber ähnlich wie beim Datenschutz, solange man nicht die negativen Auswirkungen zu spüren bekommt, ist es einem egal.
Dabei werden diese Themen immer wichtiger in Zeiten von immer im Internet, IoT, USB-Schnittstellen an allem, alles in der Cloud oder Kommunikation im offenen WLAN.

Beispiele aus dem realen Leben? Wenn Sie ein neues Auto gekauft haben, kennen Sie vielleicht "Keyless", was sich toll anhört auf den ersten Blick, ist auf den zweiten geradezu eine Einladung ihr Auto zu klauen.
Oder WLAN im Auto, tolle Sache! Ich konnte sogar vom Sofa aus mit dem Handy mein Touch-Display im Auto steuern, der Hersteller verwendet feste Standardpasswörter, die App kostet 5€.

Beispiele aus der Arbeitswelt gibt es ebenso genügend, Wartungszugänge mit Standard Passwörtern und Adminrechten. Selbst in der Windows Welt hat man bemerkt, dass der normale Benutzer kein Admin sein muss. Die festen Passwörter sind zwar "geheim", werden aber oft noch unverschlüsselt über http Port 80 im Netzwerk übertragen. Dabei gibt es längst sichere Authentifizierungsmechanismen und Übertragungsmöglichkeiten. Wie offen gerade die Welt des IOT (Internet of Things) ist, kann man schön bei IOT Suchmaschinen (siehe unten) sehen.

Vielleicht ist es ein kleiner Stein, der ins Rollen kommt, dass immer mehr Firmenkunden Sicherheitstests auf System- und Softwareebene fordern. Die Hersteller müssen sich also zumindest so langsam mal Gedanken machen.
Die Expertise ist zwar wie immer knapp, aber vielleicht baut sich nach und nach etwas Wissen und vor allem Verständnis für das Thema auf.

Was bedeutet Sicherheit? Sicherstellen von:
* Authentifizierung und Autorisierung
* Datenintegrität
* Zuverlässigkeit
* Verfügbarkeit
* Nachweißbarkeit

Aus meiner Sicht ist es eine weitere Herausforderung für das Qualitätsmanagement, sich diesen Themen zu stellen und geeignete Antworten für Entwicklung und Tests zu finden.
Auch wenn nicht-funktionale Tests ungern gesehen sind, werden wir hoffentlich bald öfters "Tiger Box Tests" (Sicherheitstests in spezieller Umgebung mit spezieller Werkzeugkiste) und folgende Themen in den Qualifikationsplänen finden.
* Vulnerability Scans
* Security Assessments und Audits
* Penetration testing
* Manipulation tests
* Network und OS Security Scans

Ich find’s spannend und werde weiter daheim mit Umgebungen wie Kali Linux experimentieren. Gebrauchen werde ich das Wissen sicher irgendwann.

Einen guten Einstieg bietet meines Erachtens OWASP (Open Web Application Security Project):
* Checkliste für Security tests
* How Tos mit Development, Testing, Review Guides
* WebGoat zum selber lernen

IOT Suche:
https://www.shodan.io/ oder https://censys.io/

 

Geschrieben von Robert Bullinger

Veröffentlicht in #Expertise, #Softwareentwicklung, #Softwaretest, #Softwarequalität

Repost0
Um über die neuesten Artikel informiert zu werden, abonnieren:
Was dir auch gefallen könnte:
Haben Sie Ihre Software unter Kontrolle?
Haben Sie Ihre Software unter Kontrolle?
Was ist Sicherheit und was ist der Unterschied?
Was ist Sicherheit und was ist der Unterschied?
8 Regeln für den totalen Stillstand
8 Regeln für den totalen Stillstand
Data-Mining kann Spaß machen
Data-Mining kann Spaß machen
Kommentiere diesen Post