Herzlich willkommen bei der PROMETO GmbH
Über uns  |  Karriere  |  Impressum  |  Datenschutz

Sichere Programmierung

Prinzipien und Stolperfallen

2,5-tägiges Seminar

Wenn Sie Software für Geräte entwickeln, die sicherheitskritisch sind und sich ggf. mit dem Internet verbinden, dann unterstützt Sie dieses Seminar bei der Erkennung und Behebung von Sicherheitslücken. Neben Safety-Aspekten geben wir auch einen Einblick in die Taktiken von Hackern. Programmieren und auch Hacken lernt man nicht alleine mit Theorie, sondern mit viel Praxis. Aber was genau macht Funktionssicherheit aus und wie genau funktioniert die Magie der Hacker?

Es gibt Sicherheitslücken in nahezu jeder Software, die uns umgibt und von dem unser Leben täglich abhängig ist. Während sich Sicherheitslücken im Sinne der Safety durch zufällige Ausfälle offenbaren, warten die Sicherheitslücken im Sinne der Security nur darauf, von Hackern entdeckt zu werden. Ob sie ausgenutzt oder nur geschlossen werden, hängt von menschlichen Faktoren ab.

Hacker sind innovative Geister und haben tiefgreifende Kenntnisse der Technologie. Sie sind Meister darin, Sicherheitslücken zu finden. Folglich müssen wir uns in diesem Seminar mit der durchaus aufwändigen Suche nach Sicherheitslücken beschäftigen. Neben  Reverse-Engineering-Techniken sehen wir aber auch viele andere Ansätze der Informationsbeschaffung.

Der Satz „Software funktioniert genau so, wie sie programmiert wurde“ ist ein zentraler Satz, denn wir müssen zwischen dem tatsächlichen Verhalten und dem beabsichtigten Verhalten der Software unterscheiden. Oft übersehen Programmierer, dass ihre Software anders verwendet werden könnte als eigentlich vorgesehen. Hacker als innovative Geister verwenden gezielt Software anders als eigentlich gewollt. Eine Sicherheitslücke ist dann entdeckt, wenn Hacker zeigen, wie sie diesen Umstand ausnutzen.

Security lässt sich in drei Bereiche zusammenfassen: Programmierung, Vernetzung, Kryptographie. Eine Entsprechung in der Safety lautet: Programmierung, Dissimilarität, Determinismus. Das, was auf den ersten Blick wie zwei unterschiedliche Welten zu sein scheint, entpuppt sich in Wirklichkeit als eine Zweckgemeinschaft, die sich gegenseitig stützt. Daher geht es im Seminar auch um die Synergien zwischen Safety und Security.

Skriptkiddies versuchen trotz mangelnder Grundlagenkenntnisse in fremde Computersysteme einzudringen. Der Hauptunterschied zwischen einem Skriptkiddie und einem Hacker liegt darin, dass der eine lediglich die Werkzeuge anderer Leute einsetzt und der andere die passenden Werkzeuge selbst programmiert. Wir werden uns daher auch intensiv mit der Programmierung von Werkzeugen beschäftigen. Das hört sich komplizierter an als es ist. Es gibt gute Frameworks, mit dessen Hilfe und etwas Python sich schnell wirkungsvolle Werkzeuge bauen lassen.

Seminarnummer: E120
Ort: 03. - 05. April 2017, Paderborn
03. - 05. Juli 2017, Paderborn
27. - 29. November 2017, Paderborn
auch als Inhouse Veranstaltung buchbar
Zielgruppe: Software-Entwickler, System-Architekten, Safety Manager bzw. Assessoren, Projektleiter
Dauer: 2,5 Tage
Kosten: 1.980,00 € zzgl. MwSt.

Anfrage für die Inhouse-Schulung:

E-Mail an seminar@prometo.de Telefon: 0 52 51/14 85 16 0

Inhalte des Seminars

Tag 1: Schwerpunkt Safety

01: Einleitung

- Illusion sicherer Software
- Einführung in die Sicherheit
- Gemeinsamkeiten und Unterschiede der einzelnen Industrien
- Überblick über einige zentrale Gesetze, Normen und Vorschriften

02: Lebenszyklus sicherheitskritischer Systeme

- Funktionssicherheit auf einen Blick: Risikoanalyse, sichere Zustände und Rückwirkungsfreiheit
- Normative Zielsetzungen für die Produktentstehung
- Systementwurf sicherheitskritischer Systeme
- Realisierung in Hardware und Software
- Aspekte in Hinblick auf die Fertigung
- Betrieb, Service und Entsorgung

03: Software-Entwicklung sicherheitskritischer Systeme

- Ziel: Rückwirkungsfreiheit
- Einfluss der Safety Integrity Level (SIL bzw. ASIL) auf die Methoden der Entwicklung
- Bewährte Methoden und zweifelhafte Forderungen entlang des V-Modells
- Nutzen von Code-Analysen (MISRA etc.)

04: Die Brücke zwischen Safety und Security

- Bei Hackern beliebte Fehler der Entwickler
- Safety: Zahlenüberläufe und Security: Buffer-Overflow
- Safety: Grenzwertbetrachtungen und Security: Fencepost error

 

Tag 2: Schwerpunkt Security

05: Überblick über die IT-Security

- Prioritätsreihenfolge in der Sicherheit
- IT und industrielle Systeme: Gemeinsamkeiten und Unterschiede
- Erfolgreiche Attacken auf technische Einrichtungen
- Tätergruppen organisierte Kriminalität, Geheimdienste und Innentäter
- Risiken durch Malware, Trojaner, Exploits und zero-day Lücken
- Fehlverhalten von Mitarbeitern
- Statistiken und finanzielle Schadensbilanzen

06: Die Magie der Hacker entmystifiziert

- Überblick über das gezielte Vorgehen von Hackern
- Methoden und Werkzeuge zur Informationsbeschaffung
- Durchführung eines Hacks und Spuren verwischen
- Automotive Hacking
- Hacking von IoT (Haushaltsgeräte, Beleuchtung etc.)

07: Netzwerk-Sicherheit

- CAN Netzwerke analysieren
- CAN Netzwerke gezielt kompromittieren
- Man in the middle-Attacken auf Ethernet
- WLAN-Hacking

08: Passwort-Sicherheit

- Techniken zum Gewinnen von Passwörtern
- Passwort-Sicherheit
- Techniken zum Umgehen von Passwörtern
- Verschlüsselung von Daten
- Daten entschlüsseln

09: Hardware Analyse von Embedded Devices

- Chip-Plattform aus Sicht der Safety bzw. Security
- Reverse Engineering Ansätze
- Embedded Speicher auslesen

 

Tag 3: Realisierung sicherer Software und Systeme

10: Safety und Security by Design

- Segmentierung
- Isolation
- Sichere Zustände für Safety und Security
- Sichere Hardware

11: Entwurfsregeln sicherer Software

- Verzahnung zwischen Hardware und Software
- Trusted Zones
- Gestaltung Software Design Guide
- Gestaltung Code-Styleguide
- Safety und Vulnerability Assessment

12: Organisatorische Maßnahmen

- Notfallpläne
- Qualifizierung für Mitarbeiter

13: Capture the flag

- Sie erhalten einen Prototyp und sind aufgefordert, die Sicherheit dieses Embedded Systems zu beurteilen

 
Copyrights © 2016 | PROMETO GmbH | Partner der