Name: Bromure
Availability: InStock

Ich hatte viel Freude daran, Mehul Revankars Interview über Bromure, Nessus und mehr zu beantworten. Mehul war mein Kollege bei Tenable und ist heute Mitgründer von Quantro Security.

Worüber wir sprechen

Das Interview dauert etwa eine Stunde. Einige Höhepunkte:

Die frühen Jahre von Nessus. Der Start des Projekts 1998, ein parallel arbeitender Scanner, der in 56 MB RAM passen musste, tägliche Plugin-Updates ab 2003 (faktisch CI/CD, bevor es den Begriff gab), und warum ich Perl schließlich zugunsten einer eigenen Sprache namens NASL aufgegeben habe.
„AppSec ist tot." Wie KI-generierte, sich selbst reparierende Infrastruktur große Teile der klassischen Anwendungssicherheit leise überflüssig macht — und warum zutiefst technische Gründer heute einen unfairen Vorteil haben, weil sie einem KI-Agenten tatsächlich sagen können, was er zu tun hat, statt zu hoffen, dass er es erahnt.
Wie Bromure entstand. Die Kurzfassung enthält einen finanziellen Honeypot, eine Menge Betrugslinks, die ich nicht auf meiner echten Maschine öffnen wollte, und die Erkenntnis, dass niemand einen Browser baut, der davon ausgeht, dass er kompromittiert wird. Die Langfassung gibt es im Podcast.
Overbearer. Ein Proxy, der die echten Bearer-Tokens und API-Keys interner Automatisierung maskiert, damit ein kompromittierter CI-Runner oder Entwickler-Laptop einem Angreifer nicht sofort die Schlüssel zur Produktion liefert.
Finanzierung und die VC-Landschaft. Seed-Runden über 200 Mio. $, der Verlust der Kontrolle über den eigenen Exit, und warum zwei Open-Source-Tools in zwei Wochen ausliefern sich deutlich gesünder anfühlt, als einer Einhorn-Bewertung hinterherzurennen.

Zum Schluss noch eine kurze Tour durch die „Hall of Fame der Schwachstellen" — WannaCry, Heartbleed, Log4Shell — und was die Branche aus jeder einzelnen gelernt hat (oder eben nicht).