Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.

1. carsten.cordes@hec.de
@badagent86
IT-Sicherheit und agile
Entwicklung – geht das? Sicher!

2. Wer bin ich?
M.Sc. Carsten Cordes
carsten.cordes@hec.de
• (früher mal) Duales Studium in der Bank
• Danach Informatikstudium in Oldenburg
• Gewinner der Cyber-Security-Challenge
Deutschland
• Penetrationstester
• Speaker auf it-sa, CeBIT, JAX und basta
• Leidenschaftlicher Softwareentwickler &
Hacker

3. Wir schreiben das Jahr 20172018…
… und das Internet ist kein Neuland mehr.
Quelle: http://www.internetlivestats.com

4. Smart-Home
Smart-Cars
Internet-of-Things
Connected-Cars
Smart-Factory
Smart-Grid Industrie 4.0
Smart-Meters
Smart-Ecosystems
Die digitale Revolution hält Einzug…

5. DevOps
Frontend
Qualitätssicherung
Backend
Requirements
Architektur
BDD
TDD
Cucumber
Selenium
Jira
Confluence
Ansible
Docker
Microservices
Angular
Cloud
Spring
DDD
WildFly
Jenkins
TypeScript
REST
JSON
…und mit ihr steigt die Komplexität.

6. Was sind die Folgen?

7. TODO: Neue Folien einfügen!
Nicht vergessen!!!!
Es passieren
Fehler!

8. Ist Sicherheit überhaupt wichtig für uns?

9. "Lang ist der Weg durch Lehren, kurz und
wirksam durch Beispiele."
Seneca

10. Es war einmal…

12. Die Idee
• Anwälte sollen sicher elektronisch kommunizieren
• Verpflichtend ab 01.01.2018
• Soll bereits vorhandene Kommunikationswege mit Justiz mitnutzen
– Elektronischen Gerichts- und Verwaltungspostfachs (EGVP)
• Zuständig für die Entwicklung und die Einführung ist die BRAK
(Bundesrechtsanwaltskammer)
– Dachorganisation der Rechtsanwälte, kein Softwareentwickler 
– Selbst entwickeln?
– Hilfe holen.

13. Wer spielt mit?
• Die Bundesrechtsanwaltskammer (BRAK)
• Mehrere renommierte Beratungs- und Entwicklungsunternehmen
• Ein renommiertes Security-Unternehmen

14. Wer spielt mit?
• Die Bundesrechtsanwaltskammer (BRAK)
• Mehrere renommierte Beratungs- und Entwicklungsunternehmen
• Ein renommiertes Security-Unternehmen
EGAL!
Hätte so in vielen Unternehmen
passieren können!

15. Die Anforderungen
• Ende-zu-Ende Kommunikation
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben
• 2FA-Authentifizierung über SmartCards
• Webmailer
• HTTPS-Verschlüsselt
• (…)

16. Die Lösung 

17. Ende-zu-Ende-Verschlüsselung
Sender Empfänger

18. Die Anforderungen
• Ende-zu-Ende Kommunikation 
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben x
• 2FA-Authentifizierung über SmartCards
• Webmailer
• HTTPS-Verschlüsselt

19. Ende-zu-Ende-Verschlüsselung?
Sender
Empfänger
Büromitarbeiter
Urlaubsvertretung
…
Zentraler
Nachrichtenserver

20. Die Anforderungen
• Ende-zu-Ende Kommunikation ???
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben 
• 2FA-Authentifizierung über SmartCards
• Webmailer
• HTTPS-Verschlüsselt

21. 2FA Authentifizierung + Webmail
beA

22. 2FA Authentifizierung + Webmail
beA
Problem: USB-Geräte (Kartenleser!) nicht ohne weiteres aus dem Browser zugreifbar

23. 2FA Authentifizierung + Webmail
beA
„Lösung“:
Registrierung von
bealocalhost.de
(verweist auf 127.0.0.1  )
+ lokaler Webserver
(Zugang über bea-brak.de)

24. Die Anforderungen
• Ende-zu-Ende Kommunikation ???
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben 
• 2FA-Authentifizierung über SmartCards 
• Webmailer 
• HTTPS-Verschlüsselt

25. HTTPS? Lokaler Webserver?
Moment…

26. HTTPS (1. Versuch)
beA
SSH
Zertifikat
bealocalhost.de

27. HTTPS (2. Versuch)
beA bealocalhost.de
Root-CA
Zertifikat
Nutzer sollen sich
Root-CA im Browser
installieren

28. Die Anforderungen
• Ende-zu-Ende Kommunikation ???
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben 
• 2FA-Authentifizierung über SmartCards 
• Webmailer 
• HTTPS-Verschlüsselt N

29. Das Ergebnis
27.12.2017

30. Zum Weiterhören
https://logbuch-netzpolitik.de/lnp242-make-§§§-fast
Podcast Logbuch Netzpolitik vom 5. Februar 2018
(ca. 2:14 Stunden)

31. Aber wie bekomme ich meine Anwendung
denn nun sicher?

32. „Sicherheit ist kein wundersamer Feenstaub, den
Sie auf Ihr Produkt streuen können, nachdem es
programmiert wurde.”
(Paul Vixie, CEO Farsight Security) …
Also: ab wann sollte man an Sicherheit denken?
Direkt bei Projektbeginn

33. Security Developement Lifecycle (SDL)
Quelle: Microsoft
Leider Wasserfall 

34. Security Developement Lifecycle (SDL) - Agil
Quelle: Microsoft
One-Time practices
Every-sprint practices
Bucket practices
Aufstellen von Security Requirements
Security/Privacy
Risikobewertung
Analyse/Reduktion
der Angriffsfläche
Aufstellen Incident
Response Plan
Threat Modeling
Statische Softwareanalyse
Security Review
Verwedung anerkannter Tools
Aufstellen von Design
Requirements
Unsichere Funktionen vermeiden
Quality Bars/Bug Bars erstellen
Dynamische Softwareanalyse
Review und Überarbeitung der Angriffsfläche
Fuzz-Testing

35. SDL ist sehr schwergewichtig 
Alternative?

36. „Security-Aware-Development“ (SAD)
Sicherheitsaspekte werden über den ganzen
Entwicklungszyklus überprüft.

37. Ziele und Inhalte von SAD
• SAD ist ein Framework zur Entwicklung sicherer Software
• SAD ist an den Microsoft SDL angelehnt
• Sicherheitsaspekte werden über den ganzen Entwicklungszyklus
überprüft.
• Individuelle Ausgestaltung ist projektspezifisch
• Sicherheitsaspekte müssen regelmäßig überprüft und angepasst
werden
37

38. Wichtige Aspekte im SAD
Identifikation
von Sicherheits-
aspekten
Aufnahme von
Security in die
DoD
Durchführung
von
automatischen
Security-Tests
Durchführung
von Pentests
Review der
Sicherheits-
aspekteFestlegung von
Coding-
Guidelines
Projektstart Kontinuierlich Regelmäßig
Überprüfung
durch statische
Analysen
Reviews durch
Sicherheitsbeauftragten

39. Projektstart
Identifikation
von Sicherheits-
aspekten
Aufnahme von
Security in die
DoD
Festlegung von
Coding-
Guidelines

40. Identifikation von
Sicherheitsaspekten:Threat-Modeling
1. Assets identifizieren
• Worauf hat es ein Angreifer
abgesehen?
2. Bedrohungen identifizieren
• klassisches Threatmodeling
• „Threatstorming“
3. Bedrohungen bewerten
• Eintrittswahrsch. * Schaden
• Risk Estimation Mapping
4. Maßnahmen finden
• Möglichst messbar
• Toolunterstützung prüfen
• Kosten / Nutzen prüfen

41. Bewertung von Risiken
Risk-Estimation-Mapping

42. Aufnahme von
Security in die
DoD
Wurden die Coding-
Guidelines eingehalten?
Erkennt die Codeanalyse
keine Probleme?
Wurde ein Code-Review
durchgeführt?

43. Festlegung
auf „sichere“
Frameworks
Wird das Framework noch
aktiv weiterentwickelt?
Wie schnell wird auf
Schwachstellen reagiert?
Wer kontrolliert den Code
des Frameworks?
Wie verbreitet ist das
Framework?

44. <plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>3.0.2</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
In Jenkins als Plugin… …oder in Maven
Festlegung auf „sichere“ Frameworks
z.B. OWASP Dependency Check
https://www.owasp.org/index.php/OWASP_Dependency_Check

45. ProjektstartKontinuierlich
Durchführung
von
automatischen
Security-Tests
Überprüfung
durch statische
Analysen

46. Statische Softwareanalyse!
grep graudit
FindSecurityBugs Taint-Analyse

47. Beispiel: grep

48. Beispiel: grep

49. Beispiel: GRAUDIT
GREP on Steroids
Quelle: https://github.com/wireghoul/graudit

50. Beispiel: GRAUDIT

51. Beispiel: FindSecurityBugs
Ein Plugin für FindBugs
Quelle: http://find-sec-bugs.github.io/

52. Beispiel: FindSecurityBugs

53. Beispiel: FindSecurityBugs

54. Beispiel: FindSecurityBugs

55. Beispiel: TAINT Analyse
Quelle: https://github.com/wireghoul/graudit

56. Taint-Analyse
// Get the login credentials
String username = request.getParameter("user");
String password = request.getParameter("pass");
// SQL query vulnerable to SQL injection
String query = "select info from Users where user = '"+ username
+"' and password='" + password +"'";
// Execute the SQL statement
rs = stmt.executeQuery(query);
Source
Sink
Taint-Analyse

57. Taint-Analyse
// Get the login credentials
String username = request.getParameter("user");
String password = request.getParameter("pass");
username = remove_bad_chars(username);
password = remove_bad_chars(password);
// SQL query vulnerable to SQL injection
String query = "select info from Users where user = '"+ username
+"' and password='" + password +"'";
// Execute the SQL statement
rs = stmt.executeQuery(query);
Taint-Analyse
„Sanitization“

58. Taint-Analyse: GRAUDIT

59. Automatische Schwachstellenscans

60. Inhaltliche Schwachstellen
• Tests müssen Anwendungsspezifisch entwickelt werden
• Unit-Tests
• Testautomatisierung
– UI-Automation Frameworks für Rich-Client-Anwendungen
– Selenium für Webbasierte Anwendungen
• Manuelle Tests
Idealerweise im Rahmen der Qualitätssicherung
60

61. Sicherheitsszenarien in BDD
Scenario: Users with incorrect passwords should not be able to login
Given I am on the login page
And I enter incorrent credentials
Then I am redirected to the startpage
Scenario: Users with correct passwords should be able to login
Given I am on the login page
And I enter correct credentials
Then I am logged in
• Inhaltlicher Test der Anwendungslogik über Testfälle /
Testautomatisierung:
Bsp.: Login

62. Technische Schwachstellen
• Lassen sich nur schwer mit „normalen“ Tests abbilden
• Vor allem für Webanwendungen interessant
• Schwachstellenscanner
– Mit Vorsicht verwenden, kann Betrieb der Anwendung stören
• Intercepting Proxies (BurpSuite, OWASP ZAP)
– HTTP(S)-Datenverkehr wird aufgezeichnet und kann gezielt oder
automatisch auf Schwachstellen untersucht werden
• Komplexe Protokolle: Untersuchung mit Wireshark, ggf. Custom-Tools
62

63. OWASP ZAP
Quelle: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

64. OWASP ZAP (Scanner)
POST /wp-login.php HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:48.0)
Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
cookie: wordpress_test_cookie=WP+Cookie+check
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 103
log=admin&pwd=admin&wp-submit=Log+In&redirect_to=wp-admin&testcookie=1

65. Umsetzung mit ZAP-API
And the SQL-Injection policy is enabled
And the attack strength is set to High
And the alert threshold is set to Low
ZAP-API (rest)

66. BDD+ +
Testen von Sicherheitsszenarien
Cucumber
Python behave
Codeception
Kontinuierliche Durchführung der Tests z.B. im
Rahmen der CI-Umgebung

67. KontinuierlichRegelmäßig
Durchführung
von Pentests Review der
Sicherheits-
aspekte
Reviews durch
Sicherheitsbeauftragten

68. „Improving the Security of Your Site by
Breaking Into it”
(Dan Farmer & Wietse Venema, 1993)
Penetrationstests

69. Ablauf eines (WebApp-)Pentests
Information-
sammlung

70. Informationssammlung
Serverversion?
Versteckte Pfade/Verzeichnisse?
Interessante Code-Kommentare?
Request/Response-Aufbau?
Anwendungsfunktion?
Weitere Einstiegspunkte (API, …)?
Ziel: Grobes Verständnis - was tut die Anwendung, wie und womit?
Programmiersprache?

71. Und natürlich… Durchklicken!

72. Ablauf eines (WebApp-)Pentests
Information-
sammlung
Test der
Konfiguration
Test der
Authentifizierung
Test der
Autorisierung
Test des
Session-
Managements

73. Ablauf eines (WebApp-)Pentests
Information-
sammlung
Test der
Konfiguration
Test der
Authentifizierung
Test der
Autorisierung
Test des
Session-
Managements
Test der Input-
validierung

74. Test der Input-Validierung
Cross-Site-Scripting?
SQL-Injection?LDAP-Injection?
XML-Injection?
Code-Injection?
Command-Injection?
File-Inclusion?

75. Ablauf eines (WebApp-)Pentests
Information-
sammlung
Test der
Konfiguration
Test der
Authentifizierung
Test der
Autorisierung
Test des
Session-
Managements
Test der Input-
validierung
Test der
Kryptographie
Test der
Geschäftslogik

76. täglich
Product
Backlog
Product
Backlog
Sprint
Backlog
Product
Backlog
Product
Backlog
Product
Backlog
Product
Backlog
Product
Backlog
Product
Backlog
Product
1 Woche – 1 Monat
Definition von
Sicherheits-
aspekten
Statische
Analyse
Automatische
Sicherheitstests
Pentest
Wie sieht jetzt ein ideales SAD aus?
Schwachstellen-
scans

77. Carsten Cordes
carsten.cordes@hec.de
@badagent86
Falls noch etwas unklar geblieben ist…
Jetzt ist die Chance für Fragen!