Usual Suspects

Erste Folge 2019. Wir greifen das Thema Threat Modelling wieder auf und führen das Thema aus Episode 9 weiter: Mit STRIDE zeigen und reden wir über eine strukturierte Methode, Gefahren in einem System zu identifizieren und zu klassifizieren.

Das Jahr 2018 neigt sich dem Ende zu; wir lassen es in dieser Folge einmal Revue passieren. Wir schauen in die Glaskugel und geben Abschätzungen für das Jahr 2019 ab und diskutieren unsere Einschätzungen. Außerdem probieren wir das Remote-Setup zum ersten Mal aus und hoffen das euch der Qualitätsverlust nicht die Ohren bluten lässt.

Wir stellen Threat Modeling vor. Threat Modeling ist der strukturierte Vorgang Gefahren, in meinem System zu identifizieren und klassifizieren. Wir liefern Argumente, warum das Thema mehr Beachtung in der Software-Entwicklung und dem Aufbau von Infrastruktur bekommen sollte. Mit dieser Folge starten wir eine Reihe, die sich detaillierter mit diesem Thema beschäftigt.

Unser Thema heute dreht sich um das Problem der Kommunikation mit Firmen, wenn es um Bugs oder Sicherheitsprobleme geht. Gerade wenn unaufgefordert Bugreports gemacht werden, will Feedback manchmal nicht gehört werden. Wir erzählen von Erfahrungen, die wir in der letzten Zeit so gemacht haben.

Mit einem Fax einen Buffer-Overflow ausnutzen? Wir sprechen darüber: Es geht um den Faxsploit auf Universaldrucker, der gerade in den Medien präsent ist.

In dieser Folge reden wir über Virtualisierung und Container. Wir wägen Vor- und Nachteile ab und gehen die Angriffvektoren von Virtualisierung, Container (am Beispiel von Docker) und serverless architecture durch.

In dieser Folge geben wir eine Einführung in das Thema Penetrationtest. Wir klären Fragen wie zum Beispiel: Was ist ein Pentest? Wie ist der Ablauf eines Pentests? Was sind die Qualitätsmerkmale auf die ich beim Buchen eines Penetrationtests achten sollte und wie sieht der resultierende Report aus.

Es geht um Datenschutz und die Veränderungen, die im Mai auf uns und Europa zukommen. Die DSGVO (Datenschutz-Grundverordnung) ist Thema und wir schauen auf einige der neuen Anforderungen und Änderungen im Datenschutz. Außerdem: kurzer Nachtrag zum Thema Auth und Auth.

Thema diese Folge ist Fuzzing und Tools die dafür geeignet sind. Wir erklären den Unterschied zu Unit-, Integration- und Akzeptanztests und warum Fuzzing in der Software-Entwicklung nützlich sein kann.

Wir reden über den Unterschied zwischen Authentifizierung und Autorisierung. Außerdem diskutieren wir unter anderem über biometrische Authentifizierungsmöglichkeiten und was für Merkmale eine Authentifizierung braucht. Auch Thema ist Zwei-Faktor-Authentifizierung, Passwortmanager und was es hier für Möglichkeiten gibt.