Buffl

Einführung Kapitel 2

SE
von Simon E.

Welche Kategorien von Software sicherheits lücken gibt es?

Pufferüberlauf

Puffer sind Speicherbereiche, die einer Anwendung zugeordnet sind. Eine Sicherheitslücke tritt auf, wenn Daten geschrieben werden, die das Fassungsvermögen eines Puffers übersteigen. Durch das Ändern von Daten außerhalb der Grenzen eines Puffers kann die Anwendung auf Speicher zugreifen, der anderen Prozessen zugewiesen ist. Das kann zu einem Systemabsturz oder zur Beeinträchtigung der Datensicherheit oder zu einer Rechteausweitung führen.


nicht valide Eingaben

Programme benötigen oft eine Dateneingabe, aber diese eingehenden Daten könnten einen bösartigen Inhalt haben, der das Programm zu einem ungewollten Verhalten zwingen soll.

Nehmen wir zum Beispiel ein Programm, das ein Bild zur Verarbeitung erhält. Ein böswilliger Benutzer könnte eine Bilddatei mit ungültigen Bildabmessungen produzieren. Die in böser Absicht erstellten Abmessungen könnten das Programm dazu zwingen, Puffer mit falschen und unerwarteten Größen zu belegen.


Kritischer Wettlauf


Die Verwundbarkeit in dieser Situation besteht darin, dass die Ausgabe eines Ereignisses von geordneten oder zeitlich festgelegten Abfolgen abhängt. Ein kritischer Wettlauf wird zur Quelle für Sicherheitslücken, wenn die erforderlichen geordneten oder zeitlich abgestimmten Ereignisse nicht in der richtigen Reihenfolge oder zum richtigen Zeitpunkt erfolgen


Schwachtstellen bei Sicherheitsmaßnahmen

Systeme und sensible Daten können durch Maßnahmen wie Authentifizierung, Autorisierung und Verschlüsselung geschützt werden. Entwickler sollten sich auf die Verwendung von Sicherheitstechniken und -bibliotheken beschränken, die bereits erstellt, getestet und überprüft wurden, und nicht versuchen, eigene Sicherheitsalgorithmen zu entwickeln. Diese führen wahrscheinlich nur zu neuen Schwachstellen.



Probleme mit der zUgriffkontrolle

Die Zugriffskontrolle reguliert, wer was tun kann und reicht vom physischen Zugang zu Geräten bis hin zur Festlegung, wer Zugriff auf eine Ressource wie beispielsweise eine Datei hat und mit welchen Berechtigungen (wie die Datei lesen oder ändern). Viele Sicherheitslücken entstehen durch den unsachgemäßen Einsatz von Zugangskontrollen.

Beinahe alle Zugriffskontrollen und Sicherheitsmaßnahmen lassen sich überwinden, wenn ein Angreifer physischen Zugang zu den entsprechenden Geräten hat. Unabhängig von den Berechtigungseinstellungen für eine Datei kann ein Hacker beispielsweise das Betriebssystem umgehen und die Daten direkt von der Festplatte lesen. Um den Rechner und die darauf vorhandenen Daten zu schützen, muss daher der physische Zugang eingeschränkt werden und es müssen Verschlüsselungsmethoden angewendet werden, die die Daten vor Diebstahl oder Manipulation schützen.

Was ist eine Kryptowährung?

Bei Kryptowährungen handelt es sich um digitales Geld, das zum Kauf von Waren und Dienstleistungen verwendet werden kann und starke Verschlüsselungstechniken zur Sicherung von Online-Transaktionen nutzt. Banken, Regierungen und sogar Unternehmen wie Microsoft und AT&T sind sich ihrer Bedeutung bewusst und springen auf den Kryptowährungs-Zug auf!


Besitzer von Kryptowährungen bewahren ihr Geld in verschlüsselten, virtuellen „Geldbörse“ (Wallet) auf.Wenn eine Transaktion zwischen den Besitzern zweier digitaler Geldbörsen (Wallets) stattfindet, werden die Einzelheiten in einem dezentralisierten, elektronischen Register oder Blockchain-System aufgezeichnet. Dies bedeutet, dass die Transaktion mit einem gewissen Grad an Anonymität durchgeführt und selbst verwaltet wird, ohne dass Dritte wie Zentralbanken oder staatliche Stellen eingreifen.


Etwa alle zehn Minuten sammeln spezielle Computer Daten über die neuesten Kryptowährungstransaktionen und verwandeln sie in mathematische Puzzles, um die Vertraulichkeit zu wahren.

Diese Transaktionen werden dann durch einen technischen und hochkomplexen Prozess, das so genannte „Mining“, überprüft.  An diesem Prozess ist in der Regel ein Heer von „Minern“ beteiligt, die an High-End-PCs arbeiten, um mathematische Puzzles zu lösen und Transaktionen zu authentifizieren.


Nach der Verifizierung wird das Register aktualisiert, elektronisch kopiert und weltweit an alle Mitglieder des Blockchain-Netzes weitergegeben, so dass die Transaktion tatsächlich abgeschlossen werden kann.

Author

Simon E.

Informationen

Zuletzt geändert