Vulnerabilities Flashcards

(30 cards)

1
Q

Lieferketten sind meist

A

grey oder sogar blackbox

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Für wer giltet die Meldepflicht an BACS?

A

Betreiber kritischer Infrastruktur

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Schwachstellen sind oft

A

Ursache für Cybervorfälle

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Typen von Vulnerabilities

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Ursachen von Schwachstellen

A

*Programmierfehler
*Designfehler
*veraltete Software
*unbeabsichtigte Interaktionen zwischen Komponenten
*Unzureichende Validierung
*Mangelhafte Fehlerbehandlung
*Wandel der Technologie
*…

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Fehler in Software ist ein…

A

Bug

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Typen von Bugs

A

*Syntaxfehler, werden durch Compiler entdeckt.
*Semantische, logische, Design und Laufzeitfehler.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Fehler pro 1000 Zeilencode in Entwicklung (Typischerweise)

A

30

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Fehler pro 1000 Zeilen Code in Production (Typischerweise)

A

< 1

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Bug vs. Vulnerability

A

*Bug: unerwünschtes Verhalten
*Vulnerability: ein oder mehrere Bugs, welche missbraucht werden können.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Ohne Exploit

A

kein Fehlerverhalten

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Definition Weakness

A

Fehler (meist nicht-funktional) im System, der das Verhalten oder die Funktionalität verändert.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Häufiger Ursprung von Weaknesses

A

Nichtbefolgen von Standards und Abmachungen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Definition Vulnerability

A

Schwachstellen, welche von einem Angreifer ausgenutzt oder ausgelöst werden können um Kontrollen oder Systemsicherheitsverfahren zu umgehen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Definition Zero-Day-Vulnerability (ZDV)

A

dem Hersteller bislang unbekannte Sicherheitslücke.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Definition Zero-Day-Exploit

A

Exploit, welcher Zero-Day-Vulnerability ausnutzt.

17
Q

Zero-Day Vulnerability kann zu

A

*N-Day Vulnerability werden (Mitigation möglich)
*Forever-Day Vulnerability (Mitigation nicht möglich)

18
Q

Mittelwert zwischen Hersteller erhält Bug bis patched Version verfügbar (Google Project Zero)

19
Q

Was kann man mit einer Vulnerability machen?

A

*Keine Veröffentlichung, geheim halten
*nur Hersteller mitteilen
*allen mitteilen
*an den Meistbietenden verkaufen

20
Q

CVD - Coordinated/Responsible Vulnerability Disclosure

A

Koordinierte Offenlgung
Schwachstellen werden erst offengelegt, wenn verantwortliche Parteien genug Zeit hatten diesen zu Patchen.

21
Q

Schadenspotenzial einer Vulnerability Skala

A

CVSS - Common Vulnerability Scoring System

22
Q

CVSS Parameter

A

*Exploitability
**Attack Vector
**Attack Complexity
**Privileges required
**User Interaction
*Impact
**scope changed
**confidentiality
**integrity
**availability

23
Q

CVE

A

Common Vulnerabilites and Exposures

24
Q

Behebung von Vulnerabilites

A

*es gibt zu viele, dass man sie alle sofort beheben könnte
*nur eine kleine Teilmenge (2-7%) der veröffentlichten Schwachstellen werden jemals ausgenutzt.
*resultierend ist die Priorisierung sehr wichtig

25
Ethische Betrachtung zu Vulnerabilites:
*Verantwortung bei Entdeckung und Offenlegung *Wahrung der Privatsphäre und Sicherheit *Kommerzielle Interesse vs. Öffentliche Sicherheit *Ausbeutung durch Angreifer *Technologische Verantwortung *Umgang mit Zero-Day-Vulnerabilites
26
Welche Vulnerabilites sind relevant?
*Nach CVSS-Score *Betrifft uns diese? *Was würde die Ausnutzung bedeuten?
27
Vorhersage, wie wahrscheinlich eine Vulnerability in den nächsten 30 Tagen exploited wird.
EPSS - Exploit Prediction Scoring System
28
Kontaktangaben für sicherheitsrelevante Probleme auf Website
Security.txt (analog zu robots.txt)
29
Was beinhaltet ein VDR - Vulnerability disclosure report?
*bevorzugter Kontakt-Mechanismus *Möglichkeiten der sicheren (Vertraulichkeit und Authenzität) Kommunikation *Bestätigung des Eingangs innert 7 Kalendertagen
30
Was beinhaltet ein VDA - Vulnerability disclosure advisory?
*Eindeutiger Identifier des Advisory *Eindeutiger Identifier für Vulnerabilites *Advisory muss Datum der ersten Publikation enthalten *Ausreichend Informationen, damit der User feststellen kann ob er betroffen ist *Authentizität des Advisory muss überprüfbar sein. *Wenn Massnahmen notwendig, muss Benutzer die Authentizität dieser Massnahmen überprüfen können.