Security

Schutzmechanismen gegen Java-Deserialisierungs-Exploits: Deserialisierungsschwachstellen im Java-Programmcode

In diesem Teil unserer Artikelserie zu Deserialisierungsschwachstellen in Java sehen wir uns an, welche Schutzmechanismen existieren, um erste Maßnahmen vor dem Eintreffen eines geeigneten Patches zu treffen. Letztlich geht es um die Frage, wie man das Erstellen von Gadget Chains verhindern oder gleich ganz auf das Serialisierungs-API verzichten kann.

6 Schritte zur Daten-Demokratisierung: Für stärkere Unternehmen und höhere Werte

Unternehmen verfügen heute über eine Fülle wertvoller Daten – und sollten eigentlich glücklich darüber sein. Die Daten ermöglichen eine höhere Intelligenz, um Entscheidungen zu treffen, und schaffen neue Einnahmequellen. Ob es darum geht, Kundenbindungsprogramme zu verbessern, Analysen zum besseren Verständnis des Verbraucher- und Unternehmensverhaltens zu verwenden oder neue Produkte und Services auf Basis von Erkenntnissen zu entwickeln – oder einfach nur schneller innovativ zu sein: Daten sind lebenswichtig und unterstützen Unternehmen dabei, neue Möglichkeiten zu erschließen. Damit Organisationen neue Wert realisieren können, müssen die relevantesten Daten allen Anwendern zur Verfügung gestellt werden. Nur so lassen sich die Daten entsprechend nutzen.

Cybercrime as a Service, Yarn & Women in Tech – Unsere Top-Themen der Woche

Letzte Woche fiel in fast ganz Deutschland Schnee. Gefühlt das erste Mal seit Jahren. Und ein eindeutiger Hinweis, dass wir uns mit großen Schritten den Winterferien und Weihnachten nähern. Und während wir dieses Jahr ob der Pandemie wohl eher weniger Angst vor Taschendieben in vollkommen überfüllten Einkaufszentren haben müssen, ist die Kriminalitätsrate online ungebrochen hoch. Mittlerweile kann man sich sogar ganze Söldnerteams engagieren. Dies und mehr in unseren Highlights der letzten Woche.

Cybercrime as a Service: Wie Söldnergruppen Geschäfte machen

Seit Jahren wird Malware wie ein wirtschaftliches Gut angeboten. Und dieser Trend setzt sich fort: Die Hacker-Industrie bietet verstärkt nicht nur Tools an, sondern auch Gesamtpakete von Dienstleistungen. Eine Nachfrage ist gegeben, denn Advanced Persistent Threats (APTs) sind nicht einfach zu entwerfen, ermöglichen aber gezielte und profitable Angriffe. Die Opfer brauchen daher professionelle Hilfe.

Passwortlos – aber richtig: 7 Fehler, die es zu vermeiden gilt

Die Zukunft ist passwortlos – dafür spricht die Entwicklung am Markt. Immer bessere digitale Identitäten sowie verfügbare Biometrie-Technologie erleichtern den sicheren Zugriff auf Onlinedienste ohne den Bedarf von kryptischen Zeichenfolgen. Doch auf dem Weg zu einer passwortlosen Infrastruktur gibt es einige Fallstricke. Al Lakhani, Gründer und Geschäftsführer der Münchner IDEE GmbH, zeigt, was es zu vermeiden gilt.

Ab in die Mitte: DevSecOps macht Sicherheit zum Bestandteil des gesamten Software-Lifecycles

Während das Zusammenspiel von Development und Operations dank wachsender Erfahrungswerte immer runder läuft, meldet sich eine weitere, wichtige IT-Disziplin zu Wort: Mitarbeiter, die für die Sicherheit einer Infrastruktur verantwortlich sind, wollen ebenfalls stärker in die holistische Betrachtung von technologischen Ökosystemen eingebunden werden. Mit DevSecOps setzt sich eine Denk- und Arbeitsweise durch, bei der die Sicherheit von IT-Infrastrukturen vom ersten Tag an über den gesamten Software-Lebenzyklus hinweg mitgedacht wird. Grundlegende Voraussetzung für ein wirkungsvolles Ineinandergreifen aller drei Disziplinen ist ein einheitlicher Blick auf zentrale Kennzahlen und alle sicherheitsrelevanten Signale.

Public, Private & Hybrid Cloud vs. Bare-Metal-Server: „Beide Ansätze haben Stärken und Schwächen“

Die Cloud ist in aller Munde. Doch bedeutet das auch, dass keiner mehr auf Bare-Metal-Server setzt? Wie sieht es mit der Sicherheit aus und wer verdient eigentlich an der Cloud? Umashankar Lakshmipathy, Senior Vice President and Regional Head – EMEA, Cloud, Infrastructure and Security Services bei Infosys, gibt auf diese Fragen im Interview Antworten. Er erklärt zudem, welche Lösung sich für welche Arten von Anwendungen am besten eignen und wie Serverless Computing die Softwarewelt in Zukunft beeinflussen wird.

Selenium 2020 – wo stehen wir jetzt? Automatisiertes Testen von Weboberflächen

Sozialistische Staaten verfügen oft über einen Fünfjahresplan – dieser Artikel ist jedoch ein Fünfjahresupdate: 2015 wurde mit der Ambition, einen schnellen ersten Einstieg in das automatisierte Testen von Weboberflächen zu liefern, ein Einführungsartikel mit den Basics zu Selenium WebDriver geliefert [1]. Jetzt, fünf Jahre später, ist es an der Zeit, dem Platzhirsch einen erneuten Besuch abzustatten, um zu schauen, was sich geändert hat, was noch genau so wie früher ist, und mit welchen Neuerungen Entwickler*innen heutzutage rechnen sollten.

HiveMQ vorgestellt: Automatisiertes Testen von MQTT-Applikationen

In einem Großteil der IoT-Anwendungsfälle wird die Kommunikation zwischen Geräten mit dem MQTT-Protokoll realisiert. Typische Anwendungen sind beispielsweise Steuergeräte, Gateways, mobile Geräte, Backend-Systeme und eine Vielzahl weiterer Microservices. In Einsatzgebieten mit großen IoT-Netzwerken sind die Anforderungen an die Softwarequalität der MQTT-Applikationen besonders hoch, da sich hier Fehler katastrophal auswirken können. Automatisierte Softwaretests sind ein fundamentaler Teil davon, diese hohe Qualität zu garantieren, da Fehler in der Implementierung schnell erkannt und behoben werden können. Die HiveMQ-Testcontainer-Bibliothek wurde geschaffen, um MQTT-Anwendungen in einer isolierten Umgebung testen zu können.

Java 15, Security im Home Office und EnterpriseTales – Top-Themen der Woche

Die vergangene Woche ging sehr schnell rum und das trotz der extra Stunde Schlaf am Wochenende! Im Moment scheint alles wieder gleichzeitig zu passieren und die Welt sich um mindestens ein 9000faches schneller zu drehen. Wer sich da entschleunigen möchte, dem empfehlen wir, die meistgelesenen Artikel der letzten Woche aufzurufen und es sich gemütlich zu machen. Wie bei einem gutem Buch findet man auch so Entspannung. Viel Spaß beim Lesen!

DevOps im Test: Verbesserter ROI dank DevOps Testing

DevOps galt lange Zeit als ein großer Hype. Nun gehen Unternehmen das Thema strategischer an und suchen nach Einsatzgebieten, in denen sich mit dem Ansatz die größte Rendite erzielen lässt. Dieser Artikel zeigt, wie sich mit DevOps-Methoden ein effizienteres Testing und damit ein besserer Return on Investment (ROI) realisieren lässt.

Exploiting in Java: Deserialisierungs- schwachstellen im Java-Programmcode

Der Stack Overflow ist das am meisten anzutreffende Sicherheitsproblem in der Softwareentwicklung. Bei einem solchen kann ein Angreifer mittels einer zu langen Eingabe einen Programmspeicher zum Überlaufen bringen, sprich über die Grenzen eines Arrays hinausschreiben und so Programme zum Absturz bringen, interne Daten verfälschen und den Programmfluss ändern. In Java gibt es zwar keinen klassischen Stack Overflow, aber ähnliche Deserialisierungsschwachstellen.