Information Security Society Switzerland (ISSS)
menu

ISSS Security Lunch

 

Kostengünstige Identifizierung bisher nicht erkannter Sicherheitslücken mit Threat Modeling, Static Analysis und Fuzzing

06. Oktober 2010, 12:00 - 14:00, Restaurant Certo, Zürich

Dieser Anlass ist ein ISSS Security-Lunch mit Vortrag und Mittagessen.

Anmeldeschluss: 04. Oktober 12:00

Kurzbeschreibung:

Im Rahmen einer Hersteller-neutralen Untersuchung wurden in über 20 repräsentativ ausgewählten Software-Produkten kritische, aus dem Internet ausnutzbare Sicherheitslücken identifiziert. Betrachtet wurden ausschließlich Software-Produkte, die mindestens 6 Monate am Markt als 'stabile' Version veröffentlicht waren wie Individualsoftware, Standardsoftware wie ERP, CRM und auch in unternehmensspezifische Ergänzungen, Webbrowsern, Webapplikationen etc.
Bei den getesteten Software-Produkten wurden Fehler und Sicherheitslücken im bis zu dreistelligen (!) Bereich identifiziert. Bei allen getesteten Software-Produkten wurden beim Einsatz ausgewählter Threat Modeling Tools und ausgewählter Fuzzing Tools mehr als 40 Fehler und Sicherheitslücken entdeckt.
Threat Modeling unterstützt als heuristisches Verfahren die methodische Überprüfung eines Sys-tementwurfs oder einer Architektur bereits in der Design-Phase.
Beim Fuzzing werden die Eingabeschnittstellen zu überprüfender Programme mit (mehr oder we-niger) zufälligen - oder auch zielgerichteten - Daten versorgt, um eine undokumentierte und damit ungewollte Reaktion des Programms zu provozieren. Dazu muss der Quellcode nicht offen vorliegen (black box Test!). Die Qualität von Fuzzern hängt wesentlich von der Menge der zum Test eingesetzten Daten und der Qualität der erzeugten Eingabedaten ab. International sind über 100 Fuzzer verfügbar – mit deutlichen Qualitätsunterschieden.
Die durchgeführte Studie bestätigt den Erfolg großer internationaler Softwarehersteller, die diese Verfahren bereits seit Jahren erfolgreich einsetzen. Die Studie bestätigt aber auch, dass trotzt des hohen wirtschaftlichen Nutzens (ROI) diese proaktiven Sicherheitsverfahren von KMU in Deutschland kaum eingesetzt werden. Beide Methoden - sowohl Threat Modeling als auch Fuzzing - können von Software-Herstellern zur Qualitätssicherung eingesetzt werden, von End-Anwendern bei der Selbst-Erstellung von Software und Beauftragung von Software als auch zur Abnahme der Software eingesetzt werden.

 

Referent:

Prof. Dr. Hartmut Pohl, Informationssicherheit - Fachbereich Informatik - Hochschule Bonn-Rhein-Sieg

 

Biografie:

Wolfgang Mahr

Prof. Dr. Hartmut Pohl ist Professof für Informationssicherheit im Fachbereich Informatik an der Hochschule Bonn-Rhein-Sieg. Sein Forschungsschwerpunkt sind NEGSIT – Next Generation Services in Heterogeneous Network Infrastructures.
Er ist Mitglied des Beirats ISA – International Security Academy
und Sprecher des Präsidiumsarbeitskreises 'Datenschutz und IT-Sicherheit' der Gesellschaft für Informatik e.V. - GI.
Zudem ist er CEO von softScheck www.softScheck.com

 

 

 

 

 

Slides:

Slides zu

 

Kosten:
Das konsumierte Mittagessen und die Getränke werden durch das Restaurant bei jedem Teilnehmenden in bar eingezogen. Der Eintritt (exkl. Konsumation) ist gratis.

 

Ort:

Ristorante Certo
Strassburgstrasse 5
8004 Zürich
»Auf Karte anzeigen

 

Erreichbarkeit von Zürich HB

  • Mit dem ÖV: Tramlinien 3 oder 14 bis Stauffacher + ca. 1min  Fussweg.
  • Zu Fuss: Ca. 13 min.  Zuerst der Sihl entlang (Kasernenstrasse) bis zur Sihlbrücke, dann auf die Werdstrasse (halb-Links) abbiegen und dieser bis zur zweiten Querstrasse folgen.


Menüs:

Die tatsächlichen Preise können von den Vorschlägen leicht abweichen.

 

  • Menu 1: Fleisch, ca. CHF 30.00
  • Menu 2: Vegetarisch, ca. CHF 30.00