USP009 – Threat Modeling

Wir stellen Threat Modeling vor. Threat Modeling ist der strukturierte Vorgang Gefahren, in meinem System zu identifizieren und klassifizieren. Wir liefern Argumente, warum das Thema mehr Beachtung in der Software-Entwicklung und dem Aufbau von Infrastruktur bekommen sollte. Mit dieser Folge starten wir eine Reihe, die sich detaillierter mit diesem Thema beschäftigt.

Link zum direkten Download der Audio-Datei: usp009-threat-modeling

USP008 – Kommunikation Firmen

Unser Thema heute dreht sich um das Problem der Kommunikation mit Firmen, wenn es um Bugs oder Sicherheitsprobleme geht. Gerade wenn unaufgefordert Bugreports gemacht werden, will Feedback manchmal nicht gehört werden. Wir erzählen von Erfahrungen, die wir in der letzten Zeit so gemacht haben.

Link zum direkten Download der Audio-Datei: usp008-kommunikation-firmen

USP006 – Virtualisierung und Container

In dieser Folge reden wir über Virtualisierung und Container. Wir wägen Vor- und Nachteile ab und gehen die Angriffvektoren von Virtualisierung, Container (am Beispiel von Docker) und serverless architecture durch.

Der erwähnte Talk von dem Mozilla Engineer ist hier auf Youtube und hier als pdf.

Link zum direkten Download der Audio-Datei: usp006-virtualisierung-container

USP005 – Einführung Pentest

In dieser Folge geben wir eine Einführung in das Thema Penetrationtest. Wir klären Fragen wie zum Beispiel: Was ist ein Pentest? Wie ist der Ablauf eines Pentests? Was sind die Qualitätsmerkmale auf die ich beim Buchen eines
Penetrationtests achten sollte und wie sieht der resultierende Report aus.

Link zum direkten Download der Audio-Datei: usp005-einführung-pentest

USP003 – Fuzzing

Thema diese Folge ist Fuzzing und Tools die dafür geeignet sind. Wir erklären den Unterschied zu Unit-, Integration- und Akzeptanztests und warum Fuzzing in der Software-Entwicklung nützlich sein kann.

Das Open Source Fuzzing Projekt von Google: Google OSS-Fuzz-Roboter
Das Fuzz-Lab von Microsoft könnt ihr euch hier anschauen.
Zum Binary-Fuzzer (American Fuzzy Lop) von dem wir gesprochen haben geht es hier lang.
Für das fuzzen von APIs gibts viele Optionen, hier ein paar Beispiele:

  • PyjFuzz – Python basierte library zum permutieren von JSON
  • ProtoFuzz – Fuzzer für Protobuf
  • tntfuzzer – OpenAPI (früher Swagger) Fuzzer. Nimmt OpenAPI-Specification entgegen und verschickt Fuzzing-Anfragen an den Server

Ein Beispiel für das Fuzzen von Code ist dieser Java Code Fuzzer: javafuzz.

Link zum direkten Download der Audio-Datei: usp003-fuzzing

USP002 – Auth und Auth

Wir reden über den Unterschied zwischen Authentifizierung und Autorisierung. Außerdem diskutieren wir unter anderem über biometrische Authentifizierungsmöglichkeiten und was für Merkmale eine Authentifizierung braucht. Auch Thema ist Zwei-Faktor-Authentifizierung, Passwortmanager und was es hier für Möglichkeiten gibt.

Link zum direkten Download der Audio-Datei: usp002-auth-und-auth