Vulnerabilities Flashcards
(30 cards)
Lieferketten sind meist
grey oder sogar blackbox
Für wer giltet die Meldepflicht an BACS?
Betreiber kritischer Infrastruktur
Schwachstellen sind oft
Ursache für Cybervorfälle
Typen von Vulnerabilities
Ursachen von Schwachstellen
*Programmierfehler
*Designfehler
*veraltete Software
*unbeabsichtigte Interaktionen zwischen Komponenten
*Unzureichende Validierung
*Mangelhafte Fehlerbehandlung
*Wandel der Technologie
*…
Fehler in Software ist ein…
Bug
Typen von Bugs
*Syntaxfehler, werden durch Compiler entdeckt.
*Semantische, logische, Design und Laufzeitfehler.
Fehler pro 1000 Zeilencode in Entwicklung (Typischerweise)
30
Fehler pro 1000 Zeilen Code in Production (Typischerweise)
< 1
Bug vs. Vulnerability
*Bug: unerwünschtes Verhalten
*Vulnerability: ein oder mehrere Bugs, welche missbraucht werden können.
Ohne Exploit
kein Fehlerverhalten
Definition Weakness
Fehler (meist nicht-funktional) im System, der das Verhalten oder die Funktionalität verändert.
Häufiger Ursprung von Weaknesses
Nichtbefolgen von Standards und Abmachungen
Definition Vulnerability
Schwachstellen, welche von einem Angreifer ausgenutzt oder ausgelöst werden können um Kontrollen oder Systemsicherheitsverfahren zu umgehen.
Definition Zero-Day-Vulnerability (ZDV)
dem Hersteller bislang unbekannte Sicherheitslücke.
Definition Zero-Day-Exploit
Exploit, welcher Zero-Day-Vulnerability ausnutzt.
Zero-Day Vulnerability kann zu
*N-Day Vulnerability werden (Mitigation möglich)
*Forever-Day Vulnerability (Mitigation nicht möglich)
Mittelwert zwischen Hersteller erhält Bug bis patched Version verfügbar (Google Project Zero)
61 Tage
Was kann man mit einer Vulnerability machen?
*Keine Veröffentlichung, geheim halten
*nur Hersteller mitteilen
*allen mitteilen
*an den Meistbietenden verkaufen
CVD - Coordinated/Responsible Vulnerability Disclosure
Koordinierte Offenlgung
Schwachstellen werden erst offengelegt, wenn verantwortliche Parteien genug Zeit hatten diesen zu Patchen.
Schadenspotenzial einer Vulnerability Skala
CVSS - Common Vulnerability Scoring System
CVSS Parameter
*Exploitability
**Attack Vector
**Attack Complexity
**Privileges required
**User Interaction
*Impact
**scope changed
**confidentiality
**integrity
**availability
CVE
Common Vulnerabilites and Exposures
Behebung von Vulnerabilites
*es gibt zu viele, dass man sie alle sofort beheben könnte
*nur eine kleine Teilmenge (2-7%) der veröffentlichten Schwachstellen werden jemals ausgenutzt.
*resultierend ist die Priorisierung sehr wichtig