Webapplikationen unter Beschuss

• Home
• Magazin
• Know How
• Firewall & VPN

Spione, Hacker und dubiose Kriminelle: Nicht nur in den Straßen, sondern auch Im Internet tummeln sich viele düstere Gestalten. Nach einer Studie von Gartner können heute vier von fünf Webapplikationen erfolgreich von professionellen Hackern attackiert werden – rund um die Uhr und von überall her auf der Welt. Die Applikationsserver bilden das Eingangstor für diese Angriffe, die je nach Professionalität der Hacker nicht einmal an die vermeintlichen Einschränkungen der Webapplikationen gebunden sind. Die beunruhigende Wahrheit: Erfolgreiche Attacken werden in den meisten Fällen gar nicht erkannt, allenfalls werden dilettantische Fehlversuche bemerkt. Ein elektronischer Angriff, der aber nie bemerkt worden ist, kann sich jederzeit wiederholen.

Der Angreifer ist dabei klar im Vorteil. Er muss nur die eine Schwachstelle im System finden, um erfolgreich zu sein, während die Sicherheitsbeauftragten immer alle Eventualitäten abwägen müssen. Und aus der Virologie ist bekannt: Antibiotika und Impfungen schützen immer nur gegen bekannte Virenstämme. Verändern diese ihre Struktur, dann sind auch die Medikamente wirkungslos. Die Praxis der Webapplikationen zeigt deutlich, dass die Sicherheit immer nur „state-of-the-art“ sein kann. Die kriminellen Innovationen in der Hackercommunity können nicht treffsicher vorhergesehen werden. Der Hacker verfügt also immer über einen natürlichen Informationsvorsprung. Die typischen Sicherheitsstandards der Webapplikationen schützen lediglich gegen bekannte Tricks.

Von Hackern und Ninjas

Automatisierte Angriffe durch Viren, Trojaner und Würmer verursachen in Log-Files von Webservern, Firewalls und Intrusion Detection-/Prevention-Systemen unzählige Einträge. Dieser „elektronische Firlefanz“ vermittelt ein sehr trügerisches Gefühl von Sicherheit, ähnlich wie die Standardalarmanlage bei einem Reihenhaus. Der Ernstfall sieht aber ganz anders aus: Wie ein Ninja kommt der Hacker gut getarnt und auf sehr leisen Sohlen. Seine manuellen Angriffe auf die Applikationsebene werden im Regelfall nicht erkannt. Sie unterscheiden sich aus Sicht der Applikation nicht von gültigen Requests und hinterlassen daher auch keinerlei spezielle Log-Einträge. Das System funktioniert einfach weiter, so als sei nichts geschehen.

Viele Sicherheitsverantwortliche prahlen damit, dass „bei ihnen noch nie etwas passiert sei“, und dass daher ihre Applikationen gut geschützt seien. Im Fall von versteckten applikatorischen Angriffen ist diese Aussage äußerst fragwürdig. Die traurige Realität beweist: Im besten Fall bedeutet dies für das Unternehmen, dass entweder Glück im Spiel war oder die Daten nicht attraktiv genug gewesen sind. Und im schlimmsten Fall suggeriert diese Aussage, dass der Sicherheitsverantwortliche nicht professionell genug gewesen ist und davon ausgeht, dass bei einem erfolgreichen Angriff auf jeden Fall merkliche Spuren und spezielle Vorkommnisse aufgetaucht wären.

Der nächste Angriff kommt bestimmt!

Erfahrungen der Praxis zeigen, dass sensitive Daten oft aus Webapplikationen extrahiert werden können, ohne Spuren zu hinterlassen. Dabei reicht meistens sogar das „konventionelle Waffenarsenal“ der Hacker, es braucht in den wenigsten Fällen wirklich ausgeklügelte Methoden. Mit Cross Site Scripting und Forceful Browsing lassen sich insbesondere bei den beliebten Phishing Angriffen eine gefährliche Wirkung erzielen. Kürzlich bekannt gewordene Missbräuche auf kommerziellen Web-Seiten wie eBay oder Citizensbank bedienten sich unter anderem dieser Techniken, um die Login-Daten von Benutzern zu stehlen. Nach den letzten Phishing Angriffen auf eBay wurde eine groß angelegte Informationskampagne gestartet. Das ist ein positiver Schritt in die richtige Richtung, es braucht aber bestimmt noch mehr. Die letzten bekannt gewordenen Phishing-Angriffe gegen eBay-Benutzer wurden über E-Mails abgewickelt, die das ahnungslose Opfer auf einen falschen Server geleitet haben. Dort wurden seine Login-Daten abgefragt. In diesem Fall war die richtige eBay-Seite gar nicht involviert und konnte technisch nichts dagegen unternehmen.

Noch einiges gefährlicher als Phishing-Angriffe dieser Art sind aber die neuen Phishing-Attacken, die über den richtigen Server laufen. Für den Benutzer sind diese Angriffe nicht mehr identifizierbar, da es sich um eine Schwachstelle der Applikation handelt. Cross Site Scripting- oder Forceful Browsing-Schwachstellen können diese Art Attacke verursachen. eBay hat in der Vergangenheit Cross Site Scripting-Schwachstellen aufgewiesen, welche Phishing über den richtigen Server ermöglicht haben. Die Cross Site Scripting-Schwachstellen wurden von eBay über lange Zeit als ungefährlich abgetan, weil nicht das ganze Ausmaß dieser Angriffsmöglichkeit erkannt wurde. Attacken wie diese sind auch bei Einhaltung der publizierten Anti-Phishing-Richtlinien nicht zu verhindern, falls die Applikation verwundbar ist. In Zukunft werden Phishing-Angriffe über Cross Site Scripting und Forceful Browsing bestimmt zunehmen und noch viel schwieriger von den Kunden zu erkennen sein. Es gilt deshalb, die Schwachstellen in den Applikationen, welche die Angriffsplattform darstellen, durch verschiedene Massnahmen zu schützen.

Der Weg zur sicheren Webapplikation Um Webapplikation gegenüber den stetig neuen und immer raffinierteren Attacken auf Applikationsebene zu schützen, sind eine Reihe von Maßnahmen nötig. Grundsätzlich müssen die Webapplikationen und Webserver vor ungültigen Requests geschützt werden. Durch mehrstufige Filterung und Validierung dürfen nur noch gültige Anfragen und Daten an die Applikation gelangen. Die wichtigsten Anforderungen für sichere Webapplikationen sind daher:

• hoch entwickelte Eingabe-, Protokoll- und Request-Filter auf allen Ebenen;
• von der Applikation entkoppelte Authentisierung, damit geschützte Bereiche in keiner Form anonym erreicht werden können;
• kryptografische URL-Verschlüsselung und HTML Form Protection zur Verhinderung verschiedener Ausprägungen von Session Riding und Forceful Browsing;
• sicherer Session Handling-Mechanismus mit starker Authentisierung;
• vorgelagerte SSL-Terminierung.

Eine gute Quelle für weitere Informationen ist der OWASP-Leitfaden „The OWASP Guide to Securing Web Applications and Services“ des Open Web Application Security-Projekts.

Nur eine mehrstufige Minimierung der Risiken führt zum Erfolg

Webapplikationen können heute mit einer applikatorischen Attackmethode einfacher angegriffen werden als gemeinhin angenommen wird. Für effektive Schutzmaßnahmen ist das Verständnis für die Denkensweise und das Vorgehen von Hackern und die Funktionsweise der Attackmethoden nötig. Denn gezielte manuelle Angriffe sind um ein Vielfaches wirkungsvoller als die verbreitete Ausnutzung von bekannten Schwachstellen. Die Schutzmaßnahmen in die Applikation zu integrieren führt nicht zum Erfolg, da die Applikation in diesem Fall kontinuierlich aktualisiert werden müsste, um gegen neue und veränderte Angriffsmethoden geschützt zu sein. Es gilt, durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und Massnahmen in der Applikationsentwicklung die Risiken für Angriffe tief zu halten und möglichst wenig Information über die Webapplikation und die verwendeten Technologien preiszugeben.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.