Only visible to XING members.

Gruppen-Newsletter: Heartbleed Bug - Was ist zu tun?

This content will be displayed once you're logged in.
Hartmut Pohl Prof. Dr. Hartmut Pohl Premium

Hallo Herr Böttcher,

ich bin etwas überrascht über den fatalistischen, ja negativen Ton und die falschen Formulierungen dieses Papiers.

"Schwachstellen werden immer wieder auftreten - manche werden früher veröffentlicht, manche später und einige werden gar nicht öffentlich bekannt.
Niemand weiß im Voraus, wo sie auftreten und wie sie sich auswirken. Daher kann es auch keine spezifischen Maßnahmen zur Vorbeugung geben. Das allgemeine Risiko …“

Sie werden wissen, dass Sicherheitssoftware (Firewalls, Verschlüsselung IDS und IDP u.a.) Sicherheitslücken enthält! Die vorgeschlagenen Best Practices wie Zwei-Faktor Authentisierung etc. haben ebenfalls nur einen begrenzten Wert, weil sie selbst Sicherheitslücken enthalten.

Und kein Hinweis auf den „Security Testing Process“? Noch nicht einmal die ISO 27034 wird erwähnt. Erfahrungsgemäß können mit dem 'Security Testing Process' tatsächlich alle Sicherheitslücken und auch verdeckte Funktionen identififziert werden.

Herzliche Grüße
Hartmut Pohl

Mirko Brandner Mirko Brandner

Interesse am Thema Application Integrity Protection?

Hallo an alle Gruppenmitglieder!

Ich habe mich heute in der Vorstellungsrunde kurz vorgestellt und das Schlagwort "Application Integrity Protection" verwendet.
Weitere Schlagwörter waren "Applikationshärten" und "WhiteBox Kryptographie".

Mein Angebot an dieser Stelle wäre eine Reihe von Themen anzusprechen, wie man mittels Applikationshärten "Selbstverteidigung" in Applikationen einbringen kann. Dazu gehören Dinge wie
- automatische Reparatur "veränderter / gepatchter" Applikationen im Falle von Lizenzumgehung zur Laufzeit von Applikationen,
- Anti-Debug and Anti-Analysis mittels Obfuscation zur Verhinderung des Diebstahls geistigen Eigentums,
- Erkennung von Jailbreak und Rooting etc. etc.

Bei WhiteBox-Kryptographie geht es darum, wie man in prinzipiell kompromittierbaren Enderäten kryptographische Schlüssel gegen Auslesen sichern kann und mit Applikationshärten kombinieren kann. Anwendungsfälle sind u.a. in DRM Systemen zu finden

Bei Interesse würde ich mich über Feedback über diesen Vorschlag und konkrete Fragen Ihrerseits freuen.

Ihr Mirko Brandner

Mirko Brandner Mirko Brandner

Noch mal ein Hallo allerseits,

ich würde gerne die Gesprächsrunde anregen und möchte nachfragen, ob diese Themen für Sie überhaupt von Interesse sind.

Wir können jederzeit später loslegen. Ich hoffe auf wenigstens 1 Feedback :-)

Beste Grüße, Mirko Brandner

Mirko Brandner Mirko Brandner

Vorstellung

Hallo allerseits,

mein Name ist Mirko Brandner und ich würde mich gerne kurz vorstellen. Ich bin als Sales Engineer (mehr Engineer als Sales :-) bei Arxan Technologies im Bereich Application Integrity Protection tätig und beschäftige mich mit Tools zum Härten von Software, WhiteBox-Kryptographie für Umgebungen vom mobilen Device bis zum Server.

Ich suche hier den Austausch mit der Security Gemeinschaft, speziell im Bereich Applikationen, sowohl technischer als auch geschäftlicher Natur.

Viele kennen den Bereich Application Integrity Protection überhaupt nicht, vielleicht kann ich einen Wissenbeitrag beisteuern?

Gruß, Mirko Brandner

Claudia Gluchow Claudia Gluchow Premium

Application Security Spezialist - München - gesucht

Ich suche für ein Projekt Unterstützung durch einen Freiberufler (haben das Know-how derzeit nicht verfügbar) mit Kenntnissen
- XSS - Cross-Site Scripting
- CSRF
- SQL-Injection
eben einen Hacker;-)
Start: asap
Dauer: noch offen, klärt sich die nächsten Tage.

Wer hat Zeit und Interesse? Bitte melden bei mir:

Claudia Gluchow
SOFTCON AG
Aidenbachstr. 42
81379 München
Tel.: bitte mobil: 0178 7770721
Danke und bis bald?

VG
Claudia Gluchow
SOFTCON AG