Statistische Auswertung von Schwachstellenklassen

Statistische Auswertung von Schwachstellenklassen

Marc Ruef
by Marc Ruef
time to read: 3 minutes

Angewandte Computersicherheit ist eigentlich relativ simpel:

Eine Schwachstelle entsteht dann, wenn auf Grund fehlender Limitierungen eine Zugriffsmöglichkeit entsteht, die so nicht gewollt war. In Bezug auf die Programmierung bedeutet dies, dass man unvertrauenswürdigen Daten vertraut und auf der Basis dieser uneingeschränkt Zugriffe durchführen lässt.

Eine Auswertung verschiedener Verwundbarkeitsdatenbanken (scip VulDB, Securityfocus, Secunia und OSVDB) sollte zeigen, welche Klasse von Fehlern vorzugsweise zu einer in der Öffentlichkeit wahrgenommenen Schwachstelle führt.

Statistik zur Verteilung der Schwachstellenklassen

Die soeben gezeigte Grafik illustriert die nachfolgend vorgetragenen Ableitungen.

Bei dieser Betrachtung ist auffällig, dass wirklich ein Grossteil der Fehler auf die Unpässlichkeit bei der Entwicklung zurückzuführen ist. Es ist also in erster Linie stets und ausschliesslich die Aufgabe des Entwicklers, ein sicheres Produkt zu entwerfen und umzusetzen.

Lediglich in Bezug auf Speicherschutzverletzungen, die an zweiter Stelle genannt wurden, können partiell ungünstige technische Grundvoraussetzungen vorgeschoben werden. Werden denn Sprachen eingesetzt, die die manuelle Verwaltung des Speichers erfordern – allen voran C/C++ -, steigt das Risiko der Einführung von Sicherheitsproblemen um nahezu 16%.

Die sichere Architektur eines Produkts, die Wahl einer soliden Programmiersprache ohne schwer bewältigende Komplexität sowie das Durchsetzen umfassender Eingabe- sowie Fehlerüberprüfung helfen also dabei, die wichtigsten Sicherheitsprobleme bei der Software-Entwicklung in den Griff zu kriegen.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You need professional Vulnerability Management?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here