Percepticon.de

Percepticon.de

Ein Podcast über die dunkle Seite der Digitalisierung: Spionage, Hacker, Sabotage, Subversion, Desinformation und die Cyber Konflikte der Vergangenheit und Zukunft. Irgendwo zwischen IT-Sicherheit und Cyber Security geht es um die großen Linien, um eine kritische, politik- bzw. sozialwissenschaftliche Einordnung der Phänomene, statt um das Verbreiten von FUD: Fear, Uncertainty and Doubt. Betrieben wird das ganze von Dr. Matthias Schulze, der unter percepticon.de schon seit Jahren dazu bloggt.

https://percepticon.de/category/podcast/

Science Social Sciences
Technology
News Politics
subscribe
share






support
claim!
report

episode 36: Software Supply Chain Attacks /invite Alexandra Paulus

Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen, sondern über eine Kompromittierung eines externen Dienstleisters, von dem sie abhängig ist. Eine Software Supply Chain kann zum Beispiel Managed Service Provider umfassen, die z.B. Netzwerke für Unternehmen managen oder Mobile Device Management Dienste bereitstellen. Aber auch Angriffe auf Update-Verteilungsmechanismen gehören zu Software Supply Chain Risiken. Die sind eine besondere Herausforderung, weil Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden haben: Hack once, penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der Stiftung Neue Verantwortung, die kürzlich darüber eine Studie geschrieben hat

Shownotes
  • Alexandra Paulus bei der Stiftung Neue Verantwortung, https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit
  • Government’s Role in Increasing Software Supply Chain Security, https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf
  • NIS 2 directive, https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333
  • EU Cyber Resilience Act, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
  • Improving the Nation’s Cybersecurity: NIST’s Responsibilities Under the May 2021 Executive Order, https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
  • ‘The Internet Is on Fire’, A vulnerability in the Log4j logging framework has security teams scrambling to put in a fix, https://www.wired.com/story/log4j-flaw-hacking-internet/
  • Conti ransomware uses Log4j bug to hack VMware vCenter servers, https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/
  • Exploring a crypto-mining campaign which used the Log4j vulnerability, https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability
  • Percepticon, Folge 24 Solarwinds, https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/
  • Kaseya supply chain attack impacts more than 1,000 companies, https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/
  • Supply chain cyberattack with possible links to North Korea could have thousands of victims globally, https://cyberscoop.com/3cx-hack-supply-chain-north-korea/
  • Percepticon, Folge 22 Security by design /invite Dennis Stolp, https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/
  • Chinese Hackers Targeted Global Firms Via Supply Chain, https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/
  • BSI IT-Sicherheitskennzeichen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
  • MSC Label Debatte., https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel
  • XKCD Comic “Dependency”, https://xkcd.com/2347/
  • National Telecommunications and Information Association, https://ntia.gov/page/software-bill-materials
  • Verfahren gegen Lilith Wittmann eingestellt – weil CDU connect ungeschützt war, https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
  • Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik
  • SWP-Studie 2019, https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen
  • OECD, Encouraging vulnerability treatment, https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
  • Atlantic Council, Breaking trust: Shades of crisis across an insecure software supply chain, https://www.atlanticcouncil.org/in-depth-research-reports/report/breaking-trust-shades-of-crisis-across-an-insecure-software-supply-chain/
  •  Atlantic Council, Breaking trust: The dataset, https://www.atlanticcouncil.org/commentary/trackers-and-data-visualizations/breaking-trust-the-dataset/
Timecodes

00:00:13 Vorstellung

00:05:00 Relevanz des Themas Software Supply Chain Security, Policies, Log4j, Kaseya

00:13:15 Software Supply Chain Compromise, Definitionen

00:17:57 Schwierigkeiten bei Software Supply Chain Security: Software Entwicklungszyklen, Lebensdauer & Updates, Cloud

00:20:47 Kaseya Vorfall

00:23:23 Ursachen für Software Unsicherheit

00:27:00 Geringe Sicherheitspriorisierung & Ausbildung

00:28:35  Sichtbarkeit von Sicherheit in IT Produkten

00:30:23 Bedrohungsakteure

00:31:14 Politische und wirtschaftliche Lösungen

00:31:50 Softwareauswahl nach Herstellungsland?

00:35:34 BSI Produktlabel, Vor und Nachteile 

00:47:00 Software Bill of materials 

00:50:05 VEX Datenformat & common security advisory framework

00:52:42 Open Source & Legacy software 

00:54:25 Was der Staat tun kann: Vorbild, Weiterbildungsangebote , Beschaffung, Regulierung 

01:07:18 Coordinated Vulnerability Disclosure

01:23:44 Implikationen für die Cyber Diplomatie

Hinweise

Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed. Apple Podcasts unterstützt gegenwärtig kein HTML mehr, weshalb das hier alles etwas durcheinander ist.

  • Modem Sound, Creative Commons.
  • © Vint Cerf, „Internet shows up in December 1975“, in: IEEE Computer Society, Computing Conversations: Vint Cerf on the History of Packets, December 2012.
  • © L0pht Heavy Industries testifying before the United States Senate Committee on Governmental Affairs, Live feed from CSPAN, May 19, 1998.
  • © Barack Obama, Cybersecurity and Consumer Protection Summit Address, 13 February 2015, Stanford University, Stanford, CA.
  • © Michael Hayden, „We kill people based on meta-data,“ in: The Johns Hopkins Foreign Affairs Symposium Presents: The Price of Privacy: Re-Evaluating the NSA, April 2014.
  • © Bruce Schneier, „Complexity is the enemy of security, in IEEE Computer Society, Bruce Schneier: Building Cryptographic Systems, March 2016.
  • Beats, Bass & Music created with Apple GarageBand
Sound & Copyright

fyyd: Podcast Search Engine
share








 April 1, 2023  1h28m