36 Software Supply Chain Attacks /invite Alexandra Paulus

36 Software Supply Chain Attacks /invite Alexandra Paulus

Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen,
1 Stunde 28 Minuten
121.77 MB
Podcast
Podcaster

Beschreibung

vor 2 Jahren

Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die
Rede ist von Cyber-Operationen via Software Supply Chains, also
Softwarelieferketten. Eine Organisation wird nicht über ihre
eigene Infrastruktur angegriffen, sondern über eine
Kompromittierung eines externen Dienstleisters, von dem sie
abhängig ist. Eine Software Supply Chain kann zum Beispiel
Managed Service Provider umfassen, die z.B. Netzwerke für
Unternehmen managen oder Mobile Device Management Dienste
bereitstellen. Aber auch Angriffe auf
Update-Verteilungsmechanismen gehören zu Software Supply Chain
Risiken. Die sind eine besondere Herausforderung, weil
Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe,
weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden
haben: Hack once, penetrate thousands. Seit dem
Solarwinds-Vorfall ist das leider ein Trend unter
Cyber-Operationen. Wie man mit diesen Risiken umgehen kann,
darüber spreche ich heute mit Dr. Alexandra Paulus von der
Stiftung Neue Verantwortung, die kürzlich darüber eine Studie
geschrieben hat
Shownotes

Alexandra Paulus bei der Stiftung Neue Verantwortung,
https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit

Government’s Role in Increasing Software Supply Chain
Security,
https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf

NIS 2 directive,
https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333

EU Cyber Resilience Act,
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

Improving the Nation’s Cybersecurity: NIST’s Responsibilities
Under the May 2021 Executive Order,
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity

‘The Internet Is on Fire’, A vulnerability in the Log4j
logging framework has security teams scrambling to put in a fix,
https://www.wired.com/story/log4j-flaw-hacking-internet/

Conti ransomware uses Log4j bug to hack VMware vCenter
servers,
https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/

Exploring a crypto-mining campaign which used the Log4j
vulnerability,
https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability

Percepticon, Folge 24 Solarwinds,
https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/

Kaseya supply chain attack impacts more than 1,000 companies,
https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/

Supply chain cyberattack with possible links to North Korea
could have thousands of victims globally,
https://cyberscoop.com/3cx-hack-supply-chain-north-korea/

Percepticon, Folge 22 Security by design /invite Dennis
Stolp,
https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/

Chinese Hackers Targeted Global Firms Via Supply Chain,
https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/

BSI IT-Sicherheitskennzeichen,
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html

MSC Label Debatte.,
https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel

XKCD Comic “Dependency”, https://xkcd.com/2347/

National Telecommunications and Information Association,
https://ntia.gov/page/software-bill-materials

Verfahren gegen Lilith Wittmann eingestellt – weil CDU
connect ungeschützt war,
https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html

Governance von 0-Day-Schwach­stellen in der deutschen
Cyber-Sicherheitspolitik

SWP-Studie 2019,
https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen

OECD, Encouraging vulnerability treatment,
https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf

Atlantic Council, Breaking trust: Shades of crisis across an
insecure software supply chain,
https://www.atlanticcouncil.org/in-depth-research-reports/report/breaking-trust-shades-of-crisis-across-an-insecure-software-supply-chain/

 Atlantic Council, Breaking trust: The dataset,
https://www.atlanticcouncil.org/commentary/trackers-and-data-visualizations/breaking-trust-the-dataset/

Timecodes

00:00:13 Vorstellung


00:05:00 Relevanz des Themas Software Supply Chain Security,
Policies, Log4j, Kaseya


00:13:15 Software Supply Chain Compromise, Definitionen


00:17:57 Schwierigkeiten bei Software Supply Chain Security:
Software Entwicklungszyklen, Lebensdauer & Updates, Cloud


00:20:47 Kaseya Vorfall


00:23:23 Ursachen für Software Unsicherheit


00:27:00 Geringe Sicherheitspriorisierung & Ausbildung


00:28:35  Sichtbarkeit von Sicherheit in IT Produkten


00:30:23 Bedrohungsakteure


00:31:14 Politische und wirtschaftliche Lösungen


00:31:50 Softwareauswahl nach Herstellungsland?


00:35:34 BSI Produktlabel, Vor und Nachteile 


00:47:00 Software Bill of materials 


00:50:05 VEX Datenformat & common security advisory framework


00:52:42 Open Source & Legacy software 


00:54:25 Was der Staat tun kann: Vorbild, Weiterbildungsangebote
, Beschaffung, Regulierung 


01:07:18 Coordinated Vulnerability Disclosure


01:23:44 Implikationen für die Cyber Diplomatie
Hinweise

Kommentare und konstruktives Feedback bitte auf percepticon.de
oder via Twitter. Die Folge erscheint auf iTunes, Spotify,
PocketCast, Stitcher oder via RSS Feed. Apple Podcasts
unterstützt gegenwärtig kein HTML mehr, weshalb das hier alles
etwas durcheinander ist.


Modem Sound, Creative Commons.

Vint Cerf, „Internet shows up in December 1975“, in: IEEE
Computer Society, Computing Conversations: Vint Cerf on the
History of Packets, December 2012.

L0pht Heavy Industries testifying before the United States
Senate Committee on Governmental Affairs, Live feed from CSPAN,
May 19, 1998.

Barack Obama, Cybersecurity and Consumer Protection Summit
Address, 13 February 2015, Stanford University, Stanford, CA.

Michael Hayden, „We kill people based on meta-data,“ in: The
Johns Hopkins Foreign Affairs Symposium Presents: The Price of
Privacy: Re-Evaluating the NSA, April 2014.

Bruce Schneier, „Complexity is the enemy of security, in IEEE
Computer Society, Bruce Schneier: Building Cryptographic Systems,
March 2016.

Beats, Bass & Music created with Apple GarageBand

Sound & Copyright

Weitere Episoden

48 WTF sind chinesische Cyber-Operationen und Chinas Cyberstrategie?

48 WTF sind chinesische Cyber-Operationen und Chinas Cyberstrategie?

43 Minuten
vor 6 Monaten
47 Cyberkrieg und militärische Cyber-Operationen im Russland-Ukrainekrieg 2022-2024

47 Cyberkrieg und militärische Cyber-Operationen im Russland-Ukrainekrieg 2022-2024

50 Minuten
vor 7 Monaten
46 WTF sind US Cyberoperationen gegenüber Russland? Update 05.03.2025

46 WTF sind US Cyberoperationen gegenüber Russland? Update 05.03.2025

30 Minuten
vor 9 Monaten
45 Aktive Maßnahmen, Desinformation und Wahlbeeinflussung. Vom KGB, MfS bis zum Internetzeitalter

45 Aktive Maßnahmen, Desinformation und Wahlbeeinflussung. Vom KGB, MfS bis zum Internetzeitalter

52 Minuten
vor 1 Jahr
44 Hybrider Krieg, Information Warfare & „Strategie“ von Liddell Hart

44 Hybrider Krieg, Information Warfare & „Strategie“ von Liddell Hart

29 Minuten
vor 1 Jahr
In Podcasts werben
Schalte jetzt Werbung in Podcasts.
Alle Episoden anzeigen

Kommentare (0)

Abonnenten

Tunc
Tunc
Berlin
Logo
15
15