CWE und die Top 25 Most Dangerous Software Errors
Unter anderem durch die große mediale Aufmerksamkeit diverser Schwachstellen der letzten Jahre erfuhr das CVE-System – welches jeder Schwachstelle eine eindeutige ID zuweist – auch außerhalb von Fachkreisen einen hohen Bekanntheitsgrad. Dieser Bekanntheitsgrad blieb dem Schwestersystem CWE bisher verwehrt und so führt es auch nach mehr als 15 Jahren – selbst in Fachkreisen – noch ein relatives Schattendasein. Dabei stellt das CWE-System eine enorm wertvolle Ressource für Softwareentwickler, Sicherheitsexperten als auch Entscheidungsträger/Projektleiter zur Erhöhung der Sicherheit von Software dar: Denn nur wer weiß, welche Ursachen für Schwachstellen es gibt, kann diese adressieren.
In diesem Vortrag wird das CWE-System als hilfreiches Werkzeug zur Verhinderung von Schwachstellen schon während des Entwicklungsprozesses vorgestellt. Die Common Weakness Enumeration (CWE) ist eine formale Sammlung von häufig vorkommenden Schwächen in Software – und zukünftig auch Hardware. Eine Schwäche ist beispielsweise ein Programmierfehler, der unter den passenden Umständen zu einer für einen Angreifer ausnutzbaren Schwachstelle führen kann. Die CWE weist jeder bekannten Schwäche eine eindeutige ID und Kategorie zu. Zusätzlich ist jede Schwäche ausführlich beschrieben und mit Beispielen und weiteren Referenzen versehen.
Neben den CWE an sich geht der Vortrag auch auf die von der CWE-Community regelmäßig veröffentlichte Liste der „Top 25 Most Dangerous Software Errors“ ein. Diese wurde zuletzt im September 2019 aktualisiert und vermittelt einen Eindruck, welche Schwächen in der Praxis aktuell besonders häufig vorkommen und zu teils hochkritischen Schwachstellen führen. Die Liste ähnelt in gewisser Weise den OWASP Top 10.
Zum Verständnis des Vortrags sind keine Vorkenntnisse notwendig. Der Vortrag richtet sich an Softwareentwickler, Projektleiter und Sicherheitsinteressierte gleichermaßen. Grundlegende Kenntnisse in einer Programmiersprache wie C oder Java sind hilfreich, aber nicht zwingend erforderlich.
Die CWE: Ein Werkzeug, welches im Repertoire eines jeden IT-Experten mit sicherheitsrelevanter Funktion vorhanden sein sollte.
Christian Titze
studierte Informatik mit Spezialisierung im Bereich der IT-Sicherheit am Karlsruher Institut für Technologie (KIT). In seiner im August 2018 veröffentlichten Masterarbeit führte er eine sicherheitsorientierte Performance-Analyse des Zeek Network Security Monitors durch und entdeckte verschiedene Schwachstellen, die für Denial-of-Service (DoS) Angriffe auf den Monitor ausgenutzt werden können. Im Laufe seines Studiums erwarb er umfassende Kenntnisse in den Bereichen Netzwerksicherheit, sichere Softwareentwicklung, Penetrationstests sowie Reverse Engineering.
2015 erwarb er im Bereich der sicheren Softwareentwicklung das Zertifikat zum ISSECO Certified Professional for Secure Software Engineering (CPSSE). Seit November 2018 ist er Security Consultant bei der Secorvo Security Consulting GmbH. Seine Beratungsschwerpunkte liegen in den Bereichen Penetrationstests, Anwendungssicherheit und sichere Softwareentwicklung.