Korrektur: IAST basiert auf Java Instrumentation API und nicht dem Metadata Facility Framework (JSR 175)

Ich habe seit Ende 2016, auf Basis von Informationen, die hauptsächlich von Declan O’Riordan stammen, angenommen, die Grundidee der Interactive Application Security Testing Technik beruhe auf dem Metadata Facility Framework, welches unter dem JSR 175 in Java eingeführt wurde. Matthias Rohr hielt am 23. Oktober 2019 einen Vortrag im Rahmen des OWASP Stammtisches in Hamburg und war über meine Nachfrage, warum er dies unerwähnt gelassen habe, sehr verwundert, da er nur die Instrumentierung des Codes als Schlüssel zum Erfolg darstellte, und so habe ich Jeff Williams, Gründer und (Mit-) Erfinder der Technik und eines der IAST-Tools, direkt via LinkedIn angefragt und die korrigierende Aussage am 27. November 2019 bekommen:

„Hi Jogi – we don’t use JSR175. We use standard Java Instrumentation API. That’s the breakthrough innovation that enabled Contrast to exist. We use all our own sensors and analysis engine on top of that API. We had to invent different instrumentation techniques for .NET, .NET core, Node.js, Ruby and Python.“

Jeff Williams, Co-Founder and CTO at Contrast

Nun, an den Ergebnissen der Technik ist in meinen Präsentationen nichts falsch, da ich sie ja auch selber durchgeführt habe, nur ist es eben etwas anderes, wenn man durch Code-Instrumentierung Aktionen auslöst (Dtrace, den Tracer von Sun, den ich immer als Vergleich auf Betriebsystemebene herangezogen habe, macht dieses nämlich auch!) oder „mitlaufende“ Metadaten analysiert werden. Der Code wird zur Laufzeit in dem Application Container „angefasst“ (verändert) während das bspw. bei Ausnutzung der JSR 175 nicht unbedingt notwendig gewesen wäre, da die Metadaten ja „mitlaufen“.

Danke an Matthias Rohr für den Hinweis, der mich dazu nötigte meine unreflektierte Übernahme einer Aussage nun zu korrigieren. Ich werde die Dokumente, sofern sie unter meiner Kontrolle sind, entsprechend anpassen.

Webinar 16.5.: Agile Applikationssicherheit in Echtzeit für DevOps

Security Testing durch Instrumentierung verspricht bei DevSecOps bessere und schnellere Ergebnisse als gängige Scan-Verfahren. Erfahren Sie in Theorie und Praxis, was hinter der Methode steckt.

Scannen Sie noch oder instrumentieren Sie schon? Denn neue Test-Methoden können die Anwendungssicherheit während der Entwicklung und im laufenden Betrieb effizient steigern. Hören Sie nicht nur die Theorie vom Hersteller, sondern auch den Praxisbezug des QA-Spezialisten Jörg Sievers von der Ponton GmbH in Hamburg und seine Erfahrungen mit neuen Security-Testmethoden aus Anwendersicht.

Quellcode zu scannen (Static Application Security Testing, SAST) und Anwendungen dynamisch zu testen (Dynamic Application Security Testing, DAST) sind wichtige Bestandteile funktionierender DevSecOps-Prozesse, generieren jedoch zu viele Falschmeldungen oder liefern nicht ausreichend Ergebnisse. Weiterhin ist Scanning mittels SAST sehr zeitintensiv oder DAST benötigt Experten zum Vorbereiten von Tests und deren Interpretation. Manuelles Pentesting kommt schon aus Zeitgründen nicht jedes Mal zum Einsatz.

Für DevOps, die ShiftLeft-Methodology und mehrfaches Deployment am selben Tag sind Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) wesentlich besser geeignet. IAST und RASP ermöglichen zeitnah akkurat Ergebnisse für unterschiedliche Anwenderrollen in den jeweils präferierten Werkzeugen.

Wir freuen uns auf Ihre Teilnahme!

Ihre Referenten:

Mirko Brandner                                Jörg Sievers
Senior Sales Engineer /                   QA Specialist 
Technical Evangelist                        Ponton GmbH
Contrast Security                             

Quelle: https://www.security-insider.de/agile-applikationssicherheit-in-echtzeit-fuer-devops-v-41422-12645/


Leserbrief iX 1/19: Beschränkte Informatikersicht

(Testen: Die Zukunft von Softwaretestern – einePrognose; iX 12/2018, S. 88)

Wenn man sich in das Rollenmodell des IT-Testers einarbeitet, das zusammen vom German Testing Board und der Gesellschaft für Informatik entwickelt wurde, sieht man, wie ein expliziter Tester den Informatikern zur Seite stehen kann. Die Vielfältigkeit der dort beschriebenen Aufgaben auf die Entwickler abzuwälzen, wäre so, als würde ein Industriearbeitnehmer alle Aufgaben von der Produktplanung bis zur Auslieferung bei EDEKA selbst erledigen – das ist wohl eher nicht wünschenswert, da man dafür viele unterschiedlichste Kompetenzen in einer Person vereinigen müsste. Der einstige „Bughunter“ ist sicherlich schon länger passé, aber der Tester, der die Entwickler besser macht, ist etwas, was es auch in den nächsten Jahrzehnten noch geben wird. Ich suche immer nach Parallelen aus meinem alten Job in der Lebensmittelindustrie, und da geht nichts, ohne dass nicht die Qualität stimmt. Und weil gerade Querschnittsthemen in der agilen Welt ein Problem darstellen können, hilft der Kommunikator oder „die Bauchspeicheldrüse“ des Projekts (Alex Schladebeck),die die Dinge zusammenführen kann.

Informatiker lernen in ihrer Ausbildung selten etwas über Grenzwerte, Sicherheitstests, Akzeptanztests – so meine Erfahrung in 20 Jahren … und das gerade bei Sicherheit nur auf Sourcecode zu beziehen, kann sehr gefährlich sein, wenn man bspw. SAST-Tools mal anschaut, die viele Entwickler kennen und die beim OWASP-Benchmark gerade mal etwa 30 % aller Sicherheitsfehler finden. Wenn da nicht ein Sicherheitstester noch andere Wege aufzeigt, um Einfallsvektoren zu bestimmen, ist Ihr Start-up schneller gehackt, als Sie die Worte „Sicherheitstests wären gut“ sagen können. Agile Testing / More Agile Testing (zwei Standardwerke, d. Red.) beschreiben die Dinge, die in die agilen Strukturen mittlerweile aufgegangen sind, und beschreiben ziemlich gut, wie sich die Berufswelt des Testers veränderte. Wir würden andere Produkte, wie Autos,Zahnpasta, Brot, Gemüse, nicht kaufen,wenn wir nicht wüssten, dass sich jemand um die versprochene Qualität des Produktes bemüht. Warum manche Informatiker denken, ihre Welt funktioniert anders als die restliche, wird mir ewig ein Rätsel bleiben. Denn die Projekte, die meinten, nicht auf Qualität zu setzen, gibt es oftmals nicht mehr. Die, die wussten, welchen Fehler sie gemacht haben, lehren andere Gründer auf Qualität zu setzen.

JÖRG SIEVERS, AHRENSBURG

Menschen, die ihren Beruf lieben: Mein Optiker

Ich bin dafür bekannt meinen ausgeübten Beruf als Passion zu verstehen (ansonsten höre ich damit auf!) und musste im Laufe der Jahre lernen, das das nicht so für jeden ist. Nun, man ist jung und hat nur Rosinen im Kopf und denkt: Ey, was ich empfinde müssen die anderen doch auch so sehen. Das das nicht so ist lernt man dann später und nennt man dann Erfahrung 🙂

Nun, es freut mich daher immer, wenn ich im Alltag Menschen kennenlerne, wo ich mir ziemlich sicher bin das diejenigen ihre berufliche Tätigkeit auch als Passion verstehen und einen möchte ich an dieser Stelle mal hervorheben: Meinen Optiker Herrn Höcker von der Höcker Optik GmbH.

Ich kenne Herrn Höcker seit vielen Jahren, da ich alle 4-5 Jahre eine neue Brille brauche. Mein Augenleiden ist nichts alltägliches, also nicht bei XY Optiker rein und die -1 oder +1 Dioptriestärken-Brille rausgeholt.

Wird nun etwas „fachlich“ (Laie wirft mit gefährlichem Halbwissen um sich), muss aber sein, sonst wird das m.E. nicht deutlich: Ich bin weitsichtig, habe zwischen dem linken und rechten Auge eine Differenz von 3,50 Dioptrien (d.h. die Gläser werden aneinander angepasst („dickenreduziert“)), meine Zylinder und Achse sind bei beiden Augen anders. D.h. Hornhautverkrümmung der größeren Art, Fehlstellung des linken Auges seit meiner Geburt (früher Schielstellung nach innen, heute nach außen, im Grundschulalter mal operiert worden)…. Da ich am Rechner arbeite den lieben langen Tag, Dokumente in schriftlicher Form vor mir aber auch erkennen möchte, habe ich seit 15 Jahren oder so Gleitsichtgläser. Die „Features“ die andere BrillenträgerInnen so haben wollen, kommen bei mir nicht in die Tüte, da ich sonst mit den Reflexionen irre werden würde – die „Dickenreduktion“ schlägt da wohl zu. Ich habe seit zwei Jahrzehnten Rodenstock-Gläser und würde mir auch nicht noch einmal anmaßen etwas anderes auf meine Augen loszulassen. Alle Versuche dahingehend waren alle nicht witzig.

Herr Höcker hat seine Kollegin beerbt, die mich einst bei Böcker+Schursch betreut hat. Sie hat die Grundlage für die Art der Brille geschaffen, die ich heute auf der Nase habe und Herr Höcker war dort Azubi 🙂 Nun ist er selbst Inhaber und schon die letzte Brille war schon eine Meisterleistung, aber mit der jetzigen hat er dem Ganzen nochmal ein Sahnehäuptchen mitgegeben. Er hat das was er gelernt hat nochmal verbessert und einige Dinge digitalisiert, die noch besser die Brille an meine Augen „maßschneidern“ – Rodenstocks DNEye-Technologie und 3D-Brillenmessung ist echt ’ne Wucht, wenn man damit umgehen kann. Mein rechtes, gesünderes, Auge hat nun ein geschliffenes Kunstoffglas, das an die „Hubbel“ meiner Hornhaut und an die Größe meines Augapfels angepasst ist und BEVOR die Gläser geschliffen wurden, ist die Brillenstellung auf meiner Nase gleich mit eingerechnet worden…. Technologisch ist das ja mal schon klasse, aber Herr Höcker hat bei meiner telefonischen Terminvereinbarung schon mal vorab ein Brillengestell zurückgelegt, da er annahm, das könnte passen – und das war dann auch so! Er hat sich knapp 2h Zeit genommen um alles einzujustieren und die Werte meines  sehr guten Augenarztes (Dr. med. Bertram Machnik) wieder einmal zu bestätigen. Mit jedem Schritt hat man gemerkt: Sein ausgeübter Beruf ist seine Passion. Endlich sitzt mal mir jemand gegenüber, der mit sich auch zufrieden ist.

34c3: Zwei-Faktor-Authentifizierung muss sein!

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

Halbwertszeit IoT – wenn man DVB-T vor Augen hat

Letztens vor dem TV im Schlafzimmer (der hängt nicht an der SAT-Schüssel und nicht im LAN) konnte ich mich der drohenden Abschaltung nicht entziehen (Riesenbanner) und dann kam da die Werbung für die ganzen Haus-Automationssysteme und so, garniert mit den Nachrichten das stümperhafte Kameras mal als Botnetz genutzt wurden….

<Power off>

Als wir vor einer Dekade unser Häuschen bauten, war DVB-T, das neue terristrische Fernsehen, voll angesagt. Nun, als ich geboren wurde gab es das analoge Farbfensehen in der BRD ungefähr ein Jahr und es lief eben auch noch eine Weile weiter (2009) als wir schon im warmen Häuschen saßen… sagen wir mal 40 Jahre. DVB-T wird nun demnächst abgeschaltet und hat damit gerade mal, sagen wir 15 Jahre voll gemacht – so genau nehmen wir das bei den Größenordnungen mal nicht.

DVB-T wird die 20 nicht erreichen!

Nun redet die IT-Wirtschaft von IoT (Outernet oder Internet of Things oder Industrie 4.0 – Buzzwords gibt es genügend), dem „next big thing“ (Steve, Du hättest wahrscheinlich die ersten Geräte, wie das erste iPhone, an die Wand geschmissen 🙂 – ähm… welche Halbwertszeit veranschlagen wir denn mal für ein „next big thing“ deren Industrie es nicht einmal geschafft hat einen einheitlichen, sicheren (verschlüsselten unter Wahrung von Privatsphäre) und leicht zu implementierenden Standard zu etablieren? Jeder kocht sein eigenes Süppchen und jeder eben so schön unsicher, das man heute Türen schneller aufbekommen als man auch nur 1-2-3 sagen kann….

In der IMBUS Trend Study „The future of testing“ werden drei Szenarien aufgezeigt und wie es auf mein Berufsbild Wirkung haben wird. Nun, das schlechteste Szenario beschreibt in Szenario B wie die „Revolution“ des „Outernets“ ausbleibt und es zu Stagnationen bei den Investitionen kommen wird. Als Tester geht man eh immer vom pessimistischsten Szenario aus, aber das die IT so ziemlich alle Fehler macht, die andere vor ihr schon vorher gemacht haben, hätte selbst ich nicht gedacht. Da labern dann manche von „$1.3 trillion in 2019, according to IDC“ (Link) – genau die, die auch den Crash der Wirtschaft noch nie vorhersagen konnten und 1-Personen-Webbuden AAA+++ Rating ausgestellt hatten….waren die das?

Implizite Qualität

Die Menschen setzen implizit auf Qualität und verbinden, ebenfalls implizit, damit Sicherheit, Stabilität, Investitionsschutz („die sind schon lange am Markt“), Verlässlichkeit und viele andere Dinge damit. Beim Hausbau weiß das meistens noch jeder, der mal eine Auswahl treffen musste mit wem er denn bauen wird, aber bei der IT nehmen wir mangelnde Qualität und eben auch Investitionsschutz mal nicht so ernst? Wer’s glaubt! Warum benutzen heute viele Windows-Systeme? Weil es so gut ist…jaja, ich lache auch gerne…. nein: Weil es weit verbreitet ist und man davon ausgehen kann, dass eine Investition lange hält! Apple hatte zu meiner Sturm- und Drangzeit massive Probleme und war schon ziemlich den Bach runter als Steve Jobs das Ding wieder zum Leben erweckte. Apple (einst auch Sun Microsystems), trotz aller vergangenen Innovationsstärke, lässt seine Systeme sehr lange im Support und selbst unser betagtes weißes MacBook von 2008 bekommt noch Sicherheitsupdates! Da kauft man doch gerne mehr von, wenn die Systeme lange gepflegt werden…

Vertrauen bilden durch offene, sichere Standards

IoT wird sich voll auf die Klappe legen, da die impliziten vertrauenbildenden Bestandteile sträflich mit Füßen getreten werden. Entweder da nimmt mal jemand das Heft in die Hand und boxt einen Standard durch (nannte man mal Industrie-Konsortium und bitte nicht wieder ein neuer elitärer Bezahlklub der zudem auch intransparent werkelt, sondern vielleicht mal was offenes, länderübergreifendes, das sich die Technologie und Techniken als Ziel auf die Fahnen schreibt….). Zudem sollte man mal darüber nachdenken die Halbwertszeit wieder nach oben zu schrauben, damit man als privater Investor (ich investiere ja in meine private Infrastruktur) auch bereit ist da mitzugehen. 10 Jahre sind nicht genug! 30 Jahre wären mal anzustreben – immerhin muss man den Kram auch bei Häusern, die man heute baut, einplanen und auch warten, erweitern können….

Excel ist eben nicht Dein Freund

Nicht nur Genforscher kämpfen mit den Problemen von Excel, sondern eigentlich alle, die ich kenne. Warum dieses Tool so genial sein soll, wird mir immer ein Rätsel bleiben. Zugegeben, ich kam von Lotus 1-2-3 und daher war Excel schon immer „der Feind“ zu Zeiten der IT-Grabenkämpfe (OS/2 vs. Windows etc.), aber diese Beharrlichkeit, mit der Excel Daten verfälscht (man lese mal .csv-Dateien ein) ist schon echt atemberaubend und disqualifiziert das Tool für jeden Tester, der seine Daten im Griff behalten will – trage es eben in eine Datenbank ein, die Du unter Kontrolle hast.

Die Verfasser des Artikels heben jedoch hervor, dass Excel diese Änderungen ohne Zutun des Nutzers vornehme und er diese Funktion zudem nicht dauerhaft entfernen könne. Erschwerend komme hinzu, dass Microsoft bereits vor über zehn Jahren erstmals auf das Problem hingewiesen wurde und seitdem nichts an dem Verhalten geändert habe.

Quelle: Verfälschte Tabellen: Excel bereitet Genforschern Probleme | heise.de