To give you the best possible experience, this site uses cookies. Review our Privacy Policy and Terms of Service to learn more. 理解しました
Artwork

Technologie Stefan Majewsky Xyrillian Noises
コンテンツは Stefan Majewsky and Xyrillian Noises によって提供されます。エピソード、グラフィック、ポッドキャストの説明を含むすべてのポッドキャスト コンテンツは、Stefan Majewsky and Xyrillian Noises またはそのポッドキャスト プラットフォーム パートナーによって直接アップロードされ、提供されます。誰かがあなたの著作物をあなたの許可なく使用していると思われる場合は、ここで概説されているプロセスに従うことができますhttps://ja.player.fm/legal

Schlüsseltechnologieに似ているもの

Player FM -ポッドキャストアプリ
Player FMアプリでオフラインにしPlayer FMう!
Get it on App Store Get it on Google Play

Schlüsseltechnologie « »
STP049: Schadcode

52:03
 
再生
再生中
シェア
 

OPUSエピソードのホーム
Manage episode 394789165 series 2920733
コンテンツは Stefan Majewsky and Xyrillian Noises によって提供されます。エピソード、グラフィック、ポッドキャストの説明を含むすべてのポッドキャスト コンテンツは、Stefan Majewsky and Xyrillian Noises またはそのポッドキャスト プラットフォーム パートナーによって直接アップロードされ、提供されます。誰かがあなたの著作物をあなたの許可なく使用していると思われる場合は、ここで概説されているプロセスに従うことができますhttps://ja.player.fm/legal

In dieser ersten Folge zum Thema Cyber-Cyber halten wir uns so lange mit der Einführung von Grundbegriffen auf, dass am Ende die Entscheidung fällt, den Rest auf Episode 51 zu verschieben. Betrachtet euch hiermit als angeteasert!

Shownotes

Die drei wichtigsten Dinge, die Experten über Software-Sicherheit wissen:

  1. Software ist unglaublich unzuverlässig und unsicher.
  2. Nein, wirklich, ihr könnt es euch nicht vorstellen.
  3. Es ist sogar noch schlimmer als das.

Matt Blaze auf Twitter (Achtung: zweiter Link geht zu einer Domain von Elon Musk)

  • Vorbemerkung: für offensive und defensive Computernutzung wird regelmäßig der Wortteil "Cyber-" verwendet (z.B. "Cyberangriff", "Cybersicherheit")

    • in IT-Kreisen, insb. im CCC-Umfeld, gilt "Cyber-" als Schibboleth für Leute, die von IT keine tiefgehende Ahnung haben (siehe z.B. "Unsere Cyber-Cyber-Regierung")
    • wir bleiben deswegen sicherheitshalber bei "IT-Angriff" :)

  • Grundlage: Sicherheitslücken ("Fehler in einer Software oder einer Hardware, durch [die] ein Programm mit Schadwirkung oder ein Angreifer in ein Computersystem eindringen kann")

    • siehe STP037: heutige berühmte Softwarefehler sind meist Sicherheitslücken (z.B. Heartbleed, wie in STP037 besprochen)
    • siehe STP039: handwerkliche Fehler in der Authentifizierung oder Autorisierung ergeben meist besonders gut ausnutzbare Sicherheitslücken (siehe gerade neulich Azure AD)
    • siehe STP045/STP047: Grundlage vieler Sicherheitslücken sind Speicherverwaltungsfehler (z.B. Pufferüberlauf, wie in STP047 besprochen)
    • Sicherheitslücken werden aktiv gesucht, entweder von "Whitehats" (Sicherheitsforschern oder den Red-Teams der Softwarehersteller selbst) oder von "Blackhats" (die die Lücken für tatsächliche Angriffe ausnutzen wollen oder an Angreifer verkaufen wollen)
    • bekannte Sicherheitslücken werden in der CVE-Datenbank ("Common Vulnerabilities and Exposures", dt. "Bekannte Schwachstellen und Anfälligkeiten") geführt (z.B. Heartbleed ist CVE-2014-0160)

  • zweiter Schritt: Exploit (eine systematische Methode, um eine Sicherheitslücke auszunutzen)

    • auch für Whitehats sind Exploits wichtig, um die Kritikalität einer Sicherheitslücke zu demonstrieren
    • für Blackhats sind Exploits die handelbare Form von Sicherheitslücken
    • Preise für Exploits orientieren sich an Angebot und Nachfrage, z.B. für RCE-Exploits in iOS oder Android bis zu 20 Mio. $ (RCE = Remote Code Execution)
    • Angriffe auf der Grundlage von Exploits haben meist eines von zwei Zielen: Ausführung von Schadcode oder Ausschleusung von Informationen (z.B. Passwörter)

  • Schadcode: der große Nachteil von Computern ist auch ihr Vorteil; sie tun genau all das, was man ihnen sagt :)

    • Computervirus: ein sich selbst verbreitendes Programm, dass sich in einen Computer einnistet (biologisches Analog: Pilze, die die Gehirne von Insekten infizieren)
    • Computerwurm: wie ein Virus, aber nistet sich nicht ein, sondern verbreitet sich nur weiter (z.B. über E-Mails oder USB-Sticks)
    • Trojaner: ein Virus, der sich nicht mittels Exploit einer Sicherheitslücke verbreitet, sondern sich als nützliches Programm tarnt
      • in der netzpolitischen Debatte vor allem relevant in Form von Staatstrojanern

  • Vorschau: zweiter Teil in STP051 (Ablauf eines IT-Angriffs)

  • im Gespräch erwähnt: Vortrag von HonkHase zu Hackback und Digitalen Waffen

  continue reading

56 つのエピソード

#Technologie #Stefan Majewsky #Xyrillian Noises
Artwork

STP049: Schadcode

Schlüsseltechnologie

published

再生 再生中
iconシェア
 
OPUSエピソードのホーム
Manage episode 394789165 series 2920733
コンテンツは Stefan Majewsky and Xyrillian Noises によって提供されます。エピソード、グラフィック、ポッドキャストの説明を含むすべてのポッドキャスト コンテンツは、Stefan Majewsky and Xyrillian Noises またはそのポッドキャスト プラットフォーム パートナーによって直接アップロードされ、提供されます。誰かがあなたの著作物をあなたの許可なく使用していると思われる場合は、ここで概説されているプロセスに従うことができますhttps://ja.player.fm/legal

In dieser ersten Folge zum Thema Cyber-Cyber halten wir uns so lange mit der Einführung von Grundbegriffen auf, dass am Ende die Entscheidung fällt, den Rest auf Episode 51 zu verschieben. Betrachtet euch hiermit als angeteasert!

Shownotes

Die drei wichtigsten Dinge, die Experten über Software-Sicherheit wissen:

  1. Software ist unglaublich unzuverlässig und unsicher.
  2. Nein, wirklich, ihr könnt es euch nicht vorstellen.
  3. Es ist sogar noch schlimmer als das.

Matt Blaze auf Twitter (Achtung: zweiter Link geht zu einer Domain von Elon Musk)

  • Vorbemerkung: für offensive und defensive Computernutzung wird regelmäßig der Wortteil "Cyber-" verwendet (z.B. "Cyberangriff", "Cybersicherheit")

    • in IT-Kreisen, insb. im CCC-Umfeld, gilt "Cyber-" als Schibboleth für Leute, die von IT keine tiefgehende Ahnung haben (siehe z.B. "Unsere Cyber-Cyber-Regierung")
    • wir bleiben deswegen sicherheitshalber bei "IT-Angriff" :)

  • Grundlage: Sicherheitslücken ("Fehler in einer Software oder einer Hardware, durch [die] ein Programm mit Schadwirkung oder ein Angreifer in ein Computersystem eindringen kann")

    • siehe STP037: heutige berühmte Softwarefehler sind meist Sicherheitslücken (z.B. Heartbleed, wie in STP037 besprochen)
    • siehe STP039: handwerkliche Fehler in der Authentifizierung oder Autorisierung ergeben meist besonders gut ausnutzbare Sicherheitslücken (siehe gerade neulich Azure AD)
    • siehe STP045/STP047: Grundlage vieler Sicherheitslücken sind Speicherverwaltungsfehler (z.B. Pufferüberlauf, wie in STP047 besprochen)
    • Sicherheitslücken werden aktiv gesucht, entweder von "Whitehats" (Sicherheitsforschern oder den Red-Teams der Softwarehersteller selbst) oder von "Blackhats" (die die Lücken für tatsächliche Angriffe ausnutzen wollen oder an Angreifer verkaufen wollen)
    • bekannte Sicherheitslücken werden in der CVE-Datenbank ("Common Vulnerabilities and Exposures", dt. "Bekannte Schwachstellen und Anfälligkeiten") geführt (z.B. Heartbleed ist CVE-2014-0160)

  • zweiter Schritt: Exploit (eine systematische Methode, um eine Sicherheitslücke auszunutzen)

    • auch für Whitehats sind Exploits wichtig, um die Kritikalität einer Sicherheitslücke zu demonstrieren
    • für Blackhats sind Exploits die handelbare Form von Sicherheitslücken
    • Preise für Exploits orientieren sich an Angebot und Nachfrage, z.B. für RCE-Exploits in iOS oder Android bis zu 20 Mio. $ (RCE = Remote Code Execution)
    • Angriffe auf der Grundlage von Exploits haben meist eines von zwei Zielen: Ausführung von Schadcode oder Ausschleusung von Informationen (z.B. Passwörter)

  • Schadcode: der große Nachteil von Computern ist auch ihr Vorteil; sie tun genau all das, was man ihnen sagt :)

    • Computervirus: ein sich selbst verbreitendes Programm, dass sich in einen Computer einnistet (biologisches Analog: Pilze, die die Gehirne von Insekten infizieren)
    • Computerwurm: wie ein Virus, aber nistet sich nicht ein, sondern verbreitet sich nur weiter (z.B. über E-Mails oder USB-Sticks)
    • Trojaner: ein Virus, der sich nicht mittels Exploit einer Sicherheitslücke verbreitet, sondern sich als nützliches Programm tarnt
      • in der netzpolitischen Debatte vor allem relevant in Form von Staatstrojanern

  • Vorschau: zweiter Teil in STP051 (Ablauf eines IT-Angriffs)

  • im Gespräch erwähnt: Vortrag von HonkHase zu Hackback und Digitalen Waffen

  continue reading

56 つのエピソード

#Technologie #Stefan Majewsky #Xyrillian Noises

Todos los episodios

×
 
Loading …

プレーヤーFMへようこそ!

Player FMは今からすぐに楽しめるために高品質のポッドキャストをウェブでスキャンしています。 これは最高のポッドキャストアプリで、Android、iPhone、そしてWebで動作します。 全ての端末で購読を同期するためにサインアップしてください。

 

Schlüsseltechnologieに似ているもの

500+以上のトピックを聴こう
Player FM -ポッドキャストアプリ
Player FMアプリでオフラインにしPlayer FMう!
Get it on App Store Get it on Google Play

クイックリファレンスガイド

トップポッドキャスト
鈴木淑子の地球は競馬でまわってる
文化放送競馬中継~今週のメインレース
ボードゲームおっぱい
聴く日経ヘッドライン
サンドウィッチマンの東北魂
トータルテンボスのぬきさしならナイト!
流行りモノ通信簿
RADIO365-TOKYO BAYSIDE RADIO STATION
町田徹のふかぼり!
足立明穂の週刊ITトレンドX
伊藤洋一のRound Up World Now!
The other side journal
KIQTAS(キクタス)
ヴォイニッチの科学書
武田邦彦のヒバリクラブ
IchibanTalk 海外で頑張る日本人トーク
BUSINESS WARS / ビジネスウォーズ
Player FM logo
ヘルプ/よくある質問 | アップグレード | Advertise
アート|ビジネス|コメディ|経済|エンターテインメント|ニュース|政治|宗教
科学|サッカー|スポーツ|物語・ストーリーテリング|テクノロジー|事件/犯罪
著作権2024 | サイトマップ | 個人情報保護方針 | 利用規約 | | 著作権
Episode being played series thumbnail
icon icon
再生速度
シリーズの設定
1x
1x
Volume
100%
icon
icon icon
/

でPlayer FMを表示...
Player FM
Browser
Chrome
Safari
Firefox