Ist das Krypto oder kann das weg?

Wer kennt dieses Problem nicht? Kurze Zeit vor dem kritischen Release wird noch schnell ein Penentrationtest gemacht und siehe da: Die Verschlüsselung fehlt komplett, die Authentisierung ist kaputt. Also noch schnell mal irgendwie javax.crypto aufrufen, das wird's schon richten.

Sie sagen jetzt sicher "Das ist Quatsch, so würde ich doch nie entwickeln!", aber in meinem Vortrag werden Sie sehen, dass die Beschreibung leider auf 90% der deployten Softwareprojekte ziemlich genau so zutrifft.

Wir besprechen interessante, sicherheitkritische Fehlbenutzungen von Kryptografie in Android-Applikationen und Java-Bibliotheken von Maven Central und besprechen Wege, diese aufzudecken und zu vermeiden.

Vorkenntnisse

Spaß an Krypto

Lernziele

* Typische Fehlbenutzungen kryptografischer Bibliotheken verstehen können
* Die Kritikalität dieser Fehlbenutzungen einschätzen können
* Verstehen, wie man solche Fehlbenutzungen automatisiert auffinden kann, auch ohne Quellcode
* In Zukunft solche Schwachstellen vermeiden können

 

Speaker

 

Eric Bodden
Eric Bodden ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Softwaretechnik an der Universität Paderborn und ein Direktor für Softwaretechnik und IT-Sicherheit am Fraunhofer IEM.

Gold-Sponsoren

WIBU Systems
Snyk
Palo Alto Networks
Xanitizer


heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden