SlideShare a Scribd company logo
1 of 32
The engineering part of social engineering or why just lying your way in don't get you anywhere. aluc#
I’m Aluc I’m a old hacker who loves the blood of your network
Preface:
What is Social Engineering? ,[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Everyone talks about NLP, what is this? NLP is a communications model created in the  early 70’s by John Grinder, David Gordon and Richard Bandler. The basis of their work are  the analyses of the work of the therapists  Fritz Perls, Virginia Satir and Milton H.Erickson. The N stands for the flow of Neurologic  processes in the human brain The L stands for Linguistic, which is our capability to speak The P stands for Programming, which means the change of the “inner program” of a human
The Modeling: “ Modeling is the process of creating useful maps of human experiences. (abilities)” --David Gordon   In this process you want to find out how  your brain operates by analyzing the pattern of verbal and nonverbal communication. The outcome can be used  for step by step guides to transfer skills from one person to another.  Example: “Drawing on the Right Side of the  Brain” --Betty Edwards
Example: An 8 year old girl with Tourette's "copied" the cover of the Junie B. Jones book as part of a book report.  http://thelastpsychiatrist.com/2011/10/how_to_draw_not_about_how_to_d.html
Example: An 8 year old girl with Tourette's "copied" the cover of the Junie B. Jones book as part of a book report.  http://thelastpsychiatrist.com/2011/10/how_to_draw_not_about_how_to_d.html
Why Modeling: Practical: correct problems and add    abilities Evolutionary: Perceiving structure and    systems Spiritual: open to the beauty of structure,  preciousness of each person
Experiential Array: Array and Graphic by David Gordon
[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Micro Expressions: Based on the system which Dr.Friesen developed, we can divide about 1000 unique facial expressions which are exposed by the neurological connection between the emotions and the 43 muscles we have in the face. This can be used to find out if a person lies to you. One should not underestimate what you can see in the eyes.   With a bit of training you can see if a person sees a video picture in the "mind's eye" (visual) or is listening to an internal recording (auditory), or if she/he is concentrating on feelings (kinaesthetic).
Micro Expressions: some charts from Dr. Lightman:
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Threat Modeling:
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Example Infiltration Hardware:
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object]
Thx for listening! See/hear me at:  http://youtube.com/theAluc  ...I guess

More Related Content

Viewers also liked (13)

Lakeview news letter
Lakeview news letterLakeview news letter
Lakeview news letter
 
Taiwan food1
Taiwan food1Taiwan food1
Taiwan food1
 
我把幸福传给你
我把幸福传给你我把幸福传给你
我把幸福传给你
 
我把幸福传给你
我把幸福传给你我把幸福传给你
我把幸福传给你
 
Untitled 1
Untitled 1Untitled 1
Untitled 1
 
Taiwan food1
Taiwan food1Taiwan food1
Taiwan food1
 
Untitled 2
Untitled 2Untitled 2
Untitled 2
 
Playas
PlayasPlayas
Playas
 
Pertemuan ke 1 share
Pertemuan ke 1 sharePertemuan ke 1 share
Pertemuan ke 1 share
 
๊Unseen in Banrai's Plant
๊Unseen in Banrai's Plant๊Unseen in Banrai's Plant
๊Unseen in Banrai's Plant
 
unseen พืชบ้านไร่
unseen พืชบ้านไร่unseen พืชบ้านไร่
unseen พืชบ้านไร่
 
Pertemuan ke 1 share
Pertemuan ke 1 sharePertemuan ke 1 share
Pertemuan ke 1 share
 
Pertemuan 1 karakteristik manajemen strategi
Pertemuan 1 karakteristik manajemen strategiPertemuan 1 karakteristik manajemen strategi
Pertemuan 1 karakteristik manajemen strategi
 

Similar to 28c3 version of "The engineering part of social engineering"

CIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
CIS502 discussion post responses.Disaster RecoveryDisaster rec.docxCIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
CIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
mccormicknadine86
 
Cell Phones And Driving Essay. research paper on texting while driving
Cell Phones And Driving Essay. research paper on texting while drivingCell Phones And Driving Essay. research paper on texting while driving
Cell Phones And Driving Essay. research paper on texting while driving
Latoya White
 
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docxDiscussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
cuddietheresa
 

Similar to 28c3 version of "The engineering part of social engineering" (20)

Foundations understanding users and interactions
Foundations  understanding users and interactionsFoundations  understanding users and interactions
Foundations understanding users and interactions
 
College Essay Starters. Online assignment writing service.
College Essay Starters. Online assignment writing service.College Essay Starters. Online assignment writing service.
College Essay Starters. Online assignment writing service.
 
Knowledge base system
Knowledge base systemKnowledge base system
Knowledge base system
 
Artificial Intelligence_ Knowledge Representation
Artificial Intelligence_ Knowledge RepresentationArtificial Intelligence_ Knowledge Representation
Artificial Intelligence_ Knowledge Representation
 
People and prototypes
People and prototypes People and prototypes
People and prototypes
 
People and prototypes
People and prototypes People and prototypes
People and prototypes
 
People and prototypes
People and prototypes People and prototypes
People and prototypes
 
Beekman5 std ppt_14
Beekman5 std ppt_14Beekman5 std ppt_14
Beekman5 std ppt_14
 
Knowledge representation
Knowledge representationKnowledge representation
Knowledge representation
 
Introduction to ml
Introduction to mlIntroduction to ml
Introduction to ml
 
Design considerations for machine learning system
Design considerations for machine learning systemDesign considerations for machine learning system
Design considerations for machine learning system
 
CIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
CIS502 discussion post responses.Disaster RecoveryDisaster rec.docxCIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
CIS502 discussion post responses.Disaster RecoveryDisaster rec.docx
 
Comparative Studies for the Human Facial Expressions Recognition Techniques
Comparative Studies for the Human Facial Expressions Recognition TechniquesComparative Studies for the Human Facial Expressions Recognition Techniques
Comparative Studies for the Human Facial Expressions Recognition Techniques
 
Cell Phones And Driving Essay. research paper on texting while driving
Cell Phones And Driving Essay. research paper on texting while drivingCell Phones And Driving Essay. research paper on texting while driving
Cell Phones And Driving Essay. research paper on texting while driving
 
Advanced Essay Writing In English - IELTS Writing - H
Advanced Essay Writing In English - IELTS Writing - HAdvanced Essay Writing In English - IELTS Writing - H
Advanced Essay Writing In English - IELTS Writing - H
 
Why Design Thinking is Important for Innovation? - Favarin Vitillo - ViewConf...
Why Design Thinking is Important for Innovation? - Favarin Vitillo - ViewConf...Why Design Thinking is Important for Innovation? - Favarin Vitillo - ViewConf...
Why Design Thinking is Important for Innovation? - Favarin Vitillo - ViewConf...
 
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docxDiscussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
Discussion - Weeks 1–2COLLAPSETop of FormShared Practice—Rol.docx
 
Addressing phobias using Virtual Reality
Addressing phobias using Virtual RealityAddressing phobias using Virtual Reality
Addressing phobias using Virtual Reality
 
HCI Quick Guide
HCI Quick GuideHCI Quick Guide
HCI Quick Guide
 
Keynote by Charles Elkan, Goldman Sachs - Machine Learning in Finance - The P...
Keynote by Charles Elkan, Goldman Sachs - Machine Learning in Finance - The P...Keynote by Charles Elkan, Goldman Sachs - Machine Learning in Finance - The P...
Keynote by Charles Elkan, Goldman Sachs - Machine Learning in Finance - The P...
 

Recently uploaded

SPLICE Working Group: Reusable Code Examples
SPLICE Working Group:Reusable Code ExamplesSPLICE Working Group:Reusable Code Examples
SPLICE Working Group: Reusable Code Examples
Peter Brusilovsky
 
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
MysoreMuleSoftMeetup
 

Recently uploaded (20)

Mattingly "AI and Prompt Design: LLMs with NER"
Mattingly "AI and Prompt Design: LLMs with NER"Mattingly "AI and Prompt Design: LLMs with NER"
Mattingly "AI and Prompt Design: LLMs with NER"
 
24 ĐỀ THAM KHẢO KÌ THI TUYỂN SINH VÀO LỚP 10 MÔN TIẾNG ANH SỞ GIÁO DỤC HẢI DƯ...
24 ĐỀ THAM KHẢO KÌ THI TUYỂN SINH VÀO LỚP 10 MÔN TIẾNG ANH SỞ GIÁO DỤC HẢI DƯ...24 ĐỀ THAM KHẢO KÌ THI TUYỂN SINH VÀO LỚP 10 MÔN TIẾNG ANH SỞ GIÁO DỤC HẢI DƯ...
24 ĐỀ THAM KHẢO KÌ THI TUYỂN SINH VÀO LỚP 10 MÔN TIẾNG ANH SỞ GIÁO DỤC HẢI DƯ...
 
UChicago CMSC 23320 - The Best Commit Messages of 2024
UChicago CMSC 23320 - The Best Commit Messages of 2024UChicago CMSC 23320 - The Best Commit Messages of 2024
UChicago CMSC 23320 - The Best Commit Messages of 2024
 
How to Send Pro Forma Invoice to Your Customers in Odoo 17
How to Send Pro Forma Invoice to Your Customers in Odoo 17How to Send Pro Forma Invoice to Your Customers in Odoo 17
How to Send Pro Forma Invoice to Your Customers in Odoo 17
 
Graduate Outcomes Presentation Slides - English (v3).pptx
Graduate Outcomes Presentation Slides - English (v3).pptxGraduate Outcomes Presentation Slides - English (v3).pptx
Graduate Outcomes Presentation Slides - English (v3).pptx
 
8 Tips for Effective Working Capital Management
8 Tips for Effective Working Capital Management8 Tips for Effective Working Capital Management
8 Tips for Effective Working Capital Management
 
OSCM Unit 2_Operations Processes & Systems
OSCM Unit 2_Operations Processes & SystemsOSCM Unit 2_Operations Processes & Systems
OSCM Unit 2_Operations Processes & Systems
 
The Liver & Gallbladder (Anatomy & Physiology).pptx
The Liver &  Gallbladder (Anatomy & Physiology).pptxThe Liver &  Gallbladder (Anatomy & Physiology).pptx
The Liver & Gallbladder (Anatomy & Physiology).pptx
 
Stl Algorithms in C++ jjjjjjjjjjjjjjjjjj
Stl Algorithms in C++ jjjjjjjjjjjjjjjjjjStl Algorithms in C++ jjjjjjjjjjjjjjjjjj
Stl Algorithms in C++ jjjjjjjjjjjjjjjjjj
 
SPLICE Working Group: Reusable Code Examples
SPLICE Working Group:Reusable Code ExamplesSPLICE Working Group:Reusable Code Examples
SPLICE Working Group: Reusable Code Examples
 
How To Create Editable Tree View in Odoo 17
How To Create Editable Tree View in Odoo 17How To Create Editable Tree View in Odoo 17
How To Create Editable Tree View in Odoo 17
 
VAMOS CUIDAR DO NOSSO PLANETA! .
VAMOS CUIDAR DO NOSSO PLANETA!                    .VAMOS CUIDAR DO NOSSO PLANETA!                    .
VAMOS CUIDAR DO NOSSO PLANETA! .
 
FICTIONAL SALESMAN/SALESMAN SNSW 2024.pdf
FICTIONAL SALESMAN/SALESMAN SNSW 2024.pdfFICTIONAL SALESMAN/SALESMAN SNSW 2024.pdf
FICTIONAL SALESMAN/SALESMAN SNSW 2024.pdf
 
diagnosting testing bsc 2nd sem.pptx....
diagnosting testing bsc 2nd sem.pptx....diagnosting testing bsc 2nd sem.pptx....
diagnosting testing bsc 2nd sem.pptx....
 
Improved Approval Flow in Odoo 17 Studio App
Improved Approval Flow in Odoo 17 Studio AppImproved Approval Flow in Odoo 17 Studio App
Improved Approval Flow in Odoo 17 Studio App
 
PSYPACT- Practicing Over State Lines May 2024.pptx
PSYPACT- Practicing Over State Lines May 2024.pptxPSYPACT- Practicing Over State Lines May 2024.pptx
PSYPACT- Practicing Over State Lines May 2024.pptx
 
Sternal Fractures & Dislocations - EMGuidewire Radiology Reading Room
Sternal Fractures & Dislocations - EMGuidewire Radiology Reading RoomSternal Fractures & Dislocations - EMGuidewire Radiology Reading Room
Sternal Fractures & Dislocations - EMGuidewire Radiology Reading Room
 
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
MuleSoft Integration with AWS Textract | Calling AWS Textract API |AWS - Clou...
 
When Quality Assurance Meets Innovation in Higher Education - Report launch w...
When Quality Assurance Meets Innovation in Higher Education - Report launch w...When Quality Assurance Meets Innovation in Higher Education - Report launch w...
When Quality Assurance Meets Innovation in Higher Education - Report launch w...
 
Trauma-Informed Leadership - Five Practical Principles
Trauma-Informed Leadership - Five Practical PrinciplesTrauma-Informed Leadership - Five Practical Principles
Trauma-Informed Leadership - Five Practical Principles
 

28c3 version of "The engineering part of social engineering"

  • 1. The engineering part of social engineering or why just lying your way in don't get you anywhere. aluc#
  • 2. I’m Aluc I’m a old hacker who loves the blood of your network
  • 4.
  • 5.
  • 6.
  • 7. Everyone talks about NLP, what is this? NLP is a communications model created in the early 70’s by John Grinder, David Gordon and Richard Bandler. The basis of their work are the analyses of the work of the therapists Fritz Perls, Virginia Satir and Milton H.Erickson. The N stands for the flow of Neurologic processes in the human brain The L stands for Linguistic, which is our capability to speak The P stands for Programming, which means the change of the “inner program” of a human
  • 8. The Modeling: “ Modeling is the process of creating useful maps of human experiences. (abilities)” --David Gordon In this process you want to find out how your brain operates by analyzing the pattern of verbal and nonverbal communication. The outcome can be used for step by step guides to transfer skills from one person to another. Example: “Drawing on the Right Side of the Brain” --Betty Edwards
  • 9. Example: An 8 year old girl with Tourette's "copied" the cover of the Junie B. Jones book as part of a book report.  http://thelastpsychiatrist.com/2011/10/how_to_draw_not_about_how_to_d.html
  • 10. Example: An 8 year old girl with Tourette's "copied" the cover of the Junie B. Jones book as part of a book report.  http://thelastpsychiatrist.com/2011/10/how_to_draw_not_about_how_to_d.html
  • 11. Why Modeling: Practical: correct problems and add abilities Evolutionary: Perceiving structure and systems Spiritual: open to the beauty of structure, preciousness of each person
  • 12. Experiential Array: Array and Graphic by David Gordon
  • 13.
  • 14.
  • 15.
  • 16.
  • 17. Micro Expressions: Based on the system which Dr.Friesen developed, we can divide about 1000 unique facial expressions which are exposed by the neurological connection between the emotions and the 43 muscles we have in the face. This can be used to find out if a person lies to you. One should not underestimate what you can see in the eyes. With a bit of training you can see if a person sees a video picture in the "mind's eye" (visual) or is listening to an internal recording (auditory), or if she/he is concentrating on feelings (kinaesthetic).
  • 18. Micro Expressions: some charts from Dr. Lightman:
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 25.
  • 26.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32. Thx for listening! See/hear me at: http://youtube.com/theAluc ...I guess

Editor's Notes

  1. 1. Identifikation der „Assets“ bzw. Sicherheitsziele Am Anfang sind normalerweise Anforderungen, Sicherheitsrichtlinien, Normen oder sonstige Vorschriften gegeben, welche auf Schlüsselziele abgebildet werden können. Diese klaren Ziele helfen bei der Aufgabenverteilung und –übersicht. Während der Entwicklungsphase ist es durchaus möglich, dass sich die Anforderungen an die Software ändern. Jedes mal, wenn neue Informationen verfügbar werden, sollte man sie gegen die aktuell erforderlichen Richtlinien abgleichen und das über weitere Vorgehen entscheiden. 2. Übersicht der Architektur Einfache Diagramme und Tabellen ergeben einen groben Überblick über die Softwarearchitektur. Wichtige Anwendungsfälle (engl. „use cases“) und verwendete Technologien bieten Charakteristika, welche helfen, Bedrohungen zu identifizieren. 3. Dekomposition der Architektur Hier wird die Architektur detailliert untersucht. Bsp. wird bei Webanwendungen das zugrunde liegende Netzwerk und die Infrastruktur des Hosts betrachtet. Es werden Vertrauensgrenzen gesetzt und mittels Datenflussdiagrammen interne Abläufe nachvollziehbar dargestellt. So kann man auch Einstiegspunkte des Nutzers in die Software aufzeigen. 4. Bedrohungen herausstellen An Hand der Sicherheitsrichtlinien, dem gewonnenem Architekturwissen und allgemein bekannten „Threats“ kann man nun herausfinden, welche Bedrohungen für das System realistisch sind (siehe „STRIDE“‐Modell). Danach müssen diese natürlich bewertet werden, damit man jeder relevanten Bedrohung ihren angemessenen Aufmerksamkeitsgrad zuordnen kann (siehe „DREAD“‐Modell). Parallel dazu ist eine gute Dokumentation unentbehrlich. Diese Daten könnten in ein Bugtracking‐System eingepflegt und direkt dessen Reportfunktionalitäten genutzt werden. 5. Sicherheitslücken finden Die identifizierten Bedrohungen müssen mit gegebenen Schwachstellen in Verbindung gebracht werden. Auch hier können allgemein gültige Informationen über Schwächen in verwendeten Technologien hilfreich sein, um vorliegende Sicherheitslücken zu finden.
  2. 1. Identifikation der „Assets“ bzw. Sicherheitsziele Am Anfang sind normalerweise Anforderungen, Sicherheitsrichtlinien, Normen oder sonstige Vorschriften gegeben, welche auf Schlüsselziele abgebildet werden können. Diese klaren Ziele helfen bei der Aufgabenverteilung und –übersicht. Während der Entwicklungsphase ist es durchaus möglich, dass sich die Anforderungen an die Software ändern. Jedes mal, wenn neue Informationen verfügbar werden, sollte man sie gegen die aktuell erforderlichen Richtlinien abgleichen und das über weitere Vorgehen entscheiden. 2. Übersicht der Architektur Einfache Diagramme und Tabellen ergeben einen groben Überblick über die Softwarearchitektur. Wichtige Anwendungsfälle (engl. „use cases“) und verwendete Technologien bieten Charakteristika, welche helfen, Bedrohungen zu identifizieren. 3. Dekomposition der Architektur Hier wird die Architektur detailliert untersucht. Bsp. wird bei Webanwendungen das zugrunde liegende Netzwerk und die Infrastruktur des Hosts betrachtet. Es werden Vertrauensgrenzen gesetzt und mittels Datenflussdiagrammen interne Abläufe nachvollziehbar dargestellt. So kann man auch Einstiegspunkte des Nutzers in die Software aufzeigen. 4. Bedrohungen herausstellen An Hand der Sicherheitsrichtlinien, dem gewonnenem Architekturwissen und allgemein bekannten „Threats“ kann man nun herausfinden, welche Bedrohungen für das System realistisch sind (siehe „STRIDE“‐Modell). Danach müssen diese natürlich bewertet werden, damit man jeder relevanten Bedrohung ihren angemessenen Aufmerksamkeitsgrad zuordnen kann (siehe „DREAD“‐Modell). Parallel dazu ist eine gute Dokumentation unentbehrlich. Diese Daten könnten in ein Bugtracking‐System eingepflegt und direkt dessen Reportfunktionalitäten genutzt werden. 5. Sicherheitslücken finden Die identifizierten Bedrohungen müssen mit gegebenen Schwachstellen in Verbindung gebracht werden. Auch hier können allgemein gültige Informationen über Schwächen in verwendeten Technologien hilfreich sein, um vorliegende Sicherheitslücken zu finden.
  3. 1. Identifikation der „Assets“ bzw. Sicherheitsziele Am Anfang sind normalerweise Anforderungen, Sicherheitsrichtlinien, Normen oder sonstige Vorschriften gegeben, welche auf Schlüsselziele abgebildet werden können. Diese klaren Ziele helfen bei der Aufgabenverteilung und –übersicht. Während der Entwicklungsphase ist es durchaus möglich, dass sich die Anforderungen an die Software ändern. Jedes mal, wenn neue Informationen verfügbar werden, sollte man sie gegen die aktuell erforderlichen Richtlinien abgleichen und das über weitere Vorgehen entscheiden. 2. Übersicht der Architektur Einfache Diagramme und Tabellen ergeben einen groben Überblick über die Softwarearchitektur. Wichtige Anwendungsfälle (engl. „use cases“) und verwendete Technologien bieten Charakteristika, welche helfen, Bedrohungen zu identifizieren. 3. Dekomposition der Architektur Hier wird die Architektur detailliert untersucht. Bsp. wird bei Webanwendungen das zugrunde liegende Netzwerk und die Infrastruktur des Hosts betrachtet. Es werden Vertrauensgrenzen gesetzt und mittels Datenflussdiagrammen interne Abläufe nachvollziehbar dargestellt. So kann man auch Einstiegspunkte des Nutzers in die Software aufzeigen. 4. Bedrohungen herausstellen An Hand der Sicherheitsrichtlinien, dem gewonnenem Architekturwissen und allgemein bekannten „Threats“ kann man nun herausfinden, welche Bedrohungen für das System realistisch sind (siehe „STRIDE“‐Modell). Danach müssen diese natürlich bewertet werden, damit man jeder relevanten Bedrohung ihren angemessenen Aufmerksamkeitsgrad zuordnen kann (siehe „DREAD“‐Modell). Parallel dazu ist eine gute Dokumentation unentbehrlich. Diese Daten könnten in ein Bugtracking‐System eingepflegt und direkt dessen Reportfunktionalitäten genutzt werden. 5. Sicherheitslücken finden Die identifizierten Bedrohungen müssen mit gegebenen Schwachstellen in Verbindung gebracht werden. Auch hier können allgemein gültige Informationen über Schwächen in verwendeten Technologien hilfreich sein, um vorliegende Sicherheitslücken zu finden.
  4. 1. Identifikation der „Assets“ bzw. Sicherheitsziele Am Anfang sind normalerweise Anforderungen, Sicherheitsrichtlinien, Normen oder sonstige Vorschriften gegeben, welche auf Schlüsselziele abgebildet werden können. Diese klaren Ziele helfen bei der Aufgabenverteilung und –übersicht. Während der Entwicklungsphase ist es durchaus möglich, dass sich die Anforderungen an die Software ändern. Jedes mal, wenn neue Informationen verfügbar werden, sollte man sie gegen die aktuell erforderlichen Richtlinien abgleichen und das über weitere Vorgehen entscheiden. 2. Übersicht der Architektur Einfache Diagramme und Tabellen ergeben einen groben Überblick über die Softwarearchitektur. Wichtige Anwendungsfälle (engl. „use cases“) und verwendete Technologien bieten Charakteristika, welche helfen, Bedrohungen zu identifizieren. 3. Dekomposition der Architektur Hier wird die Architektur detailliert untersucht. Bsp. wird bei Webanwendungen das zugrunde liegende Netzwerk und die Infrastruktur des Hosts betrachtet. Es werden Vertrauensgrenzen gesetzt und mittels Datenflussdiagrammen interne Abläufe nachvollziehbar dargestellt. So kann man auch Einstiegspunkte des Nutzers in die Software aufzeigen. 4. Bedrohungen herausstellen An Hand der Sicherheitsrichtlinien, dem gewonnenem Architekturwissen und allgemein bekannten „Threats“ kann man nun herausfinden, welche Bedrohungen für das System realistisch sind (siehe „STRIDE“‐Modell). Danach müssen diese natürlich bewertet werden, damit man jeder relevanten Bedrohung ihren angemessenen Aufmerksamkeitsgrad zuordnen kann (siehe „DREAD“‐Modell). Parallel dazu ist eine gute Dokumentation unentbehrlich. Diese Daten könnten in ein Bugtracking‐System eingepflegt und direkt dessen Reportfunktionalitäten genutzt werden. 5. Sicherheitslücken finden Die identifizierten Bedrohungen müssen mit gegebenen Schwachstellen in Verbindung gebracht werden. Auch hier können allgemein gültige Informationen über Schwächen in verwendeten Technologien hilfreich sein, um vorliegende Sicherheitslücken zu finden.
  5. 1. Identifikation der „Assets“ bzw. Sicherheitsziele Am Anfang sind normalerweise Anforderungen, Sicherheitsrichtlinien, Normen oder sonstige Vorschriften gegeben, welche auf Schlüsselziele abgebildet werden können. Diese klaren Ziele helfen bei der Aufgabenverteilung und –übersicht. Während der Entwicklungsphase ist es durchaus möglich, dass sich die Anforderungen an die Software ändern. Jedes mal, wenn neue Informationen verfügbar werden, sollte man sie gegen die aktuell erforderlichen Richtlinien abgleichen und das über weitere Vorgehen entscheiden. 2. Übersicht der Architektur Einfache Diagramme und Tabellen ergeben einen groben Überblick über die Softwarearchitektur. Wichtige Anwendungsfälle (engl. „use cases“) und verwendete Technologien bieten Charakteristika, welche helfen, Bedrohungen zu identifizieren. 3. Dekomposition der Architektur Hier wird die Architektur detailliert untersucht. Bsp. wird bei Webanwendungen das zugrunde liegende Netzwerk und die Infrastruktur des Hosts betrachtet. Es werden Vertrauensgrenzen gesetzt und mittels Datenflussdiagrammen interne Abläufe nachvollziehbar dargestellt. So kann man auch Einstiegspunkte des Nutzers in die Software aufzeigen. 4. Bedrohungen herausstellen An Hand der Sicherheitsrichtlinien, dem gewonnenem Architekturwissen und allgemein bekannten „Threats“ kann man nun herausfinden, welche Bedrohungen für das System realistisch sind (siehe „STRIDE“‐Modell). Danach müssen diese natürlich bewertet werden, damit man jeder relevanten Bedrohung ihren angemessenen Aufmerksamkeitsgrad zuordnen kann (siehe „DREAD“‐Modell). Parallel dazu ist eine gute Dokumentation unentbehrlich. Diese Daten könnten in ein Bugtracking‐System eingepflegt und direkt dessen Reportfunktionalitäten genutzt werden. 5. Sicherheitslücken finden Die identifizierten Bedrohungen müssen mit gegebenen Schwachstellen in Verbindung gebracht werden. Auch hier können allgemein gültige Informationen über Schwächen in verwendeten Technologien hilfreich sein, um vorliegende Sicherheitslücken zu finden.