23.02.2006, 13:56 Uhr
Der «Kalte Krieg» der Webapps
Vier von fünf Webapplikationen können erfolgreich von professionellen Hackern attackiert werden - rund um die Uhr und von überall her auf der Welt. Die Applikationsserver bilden das Eingangstor.
Cyrill Osterwalder ist Chief Technology Officer bei Seclutions und Mitglied des Web Application Security Consortium.
Der Spion, der aus der Kälte kam», so der Titel eines Roman des britischen Autors John Le Carré. Und so kann man auch sehr treffend die Situation bei der Sicherheit von Webapplikation beschreiben. Vier von fünf Webapps können heute erfolgreich von professionellen Hackern attackiert werden - rund um die Uhr und von überall her. Die Applikationsserver bilden das Eingangstor für diese Angriffe, die je nach Professionalität der Hacker nicht einmal an die vermeintlichen Einschränkungen der Webapplikationen gebunden sind. Erfolgreiche Attacken werden in den meisten Fällen gar nicht erkannt, allenfalls werden dilettantische Fehlversuche bemerkt.
Webapps und Strafvollzug
Der Angreifer ist klar im Vorteil. Ein Vergleich mit Hochsicherheitsgefängnissen hilft weiter: Trotz aller Kontrollen der Häftlinge gibt es keine absolute Sicherheit: Waffen, Drogen und Mobilfunkgeräte finden ihren Weg zu den Delinquenten und selbst Ausbrüche können gelingen. Während die Wächter rund um die Uhr aufmerksam sein müssen und die Sicherheit damit zur Routine wird, brauchen die Insassen nur auf den einen unbeobachteten Moment zu warten, um zuzuschlagen. Der Angreifer muss nur die eine Schwachstelle im System finden, während die Sicherheitsbeauftragten immer alle Eventualitäten abwägen müssen.
Und aus der Virologie wissen wir: Antibiotika und Impfungen schützen immer nur gegen bekannte Virenstämme. Verändern diese ihre Struktur, dann sind auch die Medikamente wirkungslos. Die Praxis der Webapplikationen zeigt deutlich, dass die Sicherheit immer nur «State-of-the-art» sein kann. Die kriminellen Innovationen in der Hackercommunity können nicht treffsicher vorhergesehen werden. Der Hacker verfügt also immer über einen natürlichen Informationsvorsprung. Die typischen Sicherheitsstandards der Webapplikationen schützen lediglich gegen bekannte Tricks.
Hacker und Ninjas
Automatisierte Angriffe durch Viren, Trojaner und Würmer verursachen in Log-Files von Webservern, Firewalls und Intrusion Detection- und Prevention-Systemen unzählige Einträge. Diese vermittelt ein trügerisches Gefühl von Sicherheit, ähnlich wie die Standardalarmanlage bei einem Reihenhaus. Der Ernstfall sieht aber anders aus: Wie ein Ninja kommt der Hacker gut getarnt und auf leisen Sohlen. Seine manuellen Angriffe auf die Applikationsebene werden im Regelfall nicht erkannt. Sie unterscheiden sich aus Sicht der Applikation nicht von gültigen Requests und hinterlassen daher auch keinerlei spezielle Log-Einträge.
Viele Sicherheitsverantwortliche prahlen damit, dass «bei ihnen noch nie etwas passiert sei». Im Fall von versteckten applikatorischen Angriffen ist diese Aussage fragwürdig. Die Realität beweist: Im besten Fall bedeutet dies für das Unternehmen, dass man bisher Glück gehabt hat oder die Daten nicht attraktiv genug sind. Und im schlimmsten Fall suggeriert diese Aussage, dass der Sicherheitsverantwortliche zu wenig professionell ist und davon ausgeht, dass bei einem erfolgreichen Angriff auf jeden Fall merkliche Spuren aufgetaucht wären.
Konventionelle Waffen reichen
Erfahrungen der Praxis zeigen, dass sensitive Daten oft aus Webapps extrahiert werden können, ohne Spuren zu hinterlassen. Dabei reicht meistens sogar das konventionelle Waffenarsenal der Hacker, es braucht in den wenigsten Fällen wirklich ausgeklügelte Methoden. Mit Cross Site Scripting und Forceful Browsing lässt sich insbesondere bei den beliebten Phishing-Angriffen eine gefährliche Wirkung erzielen.
Kürzlich bekannt gewordene Missbräuche auf kommerziellen Web-Seiten wie etwa bei E-Bay oder Citizensbank bedienten sich unter anderem dieser Techniken, um die Login-Daten von Benutzern zu stehlen. Die letzten bekannt gewordenen Phishing-Angriffe gegen E-Bay-Benutzer wurden über E-Mails abgewickelt, die das ahnungslose Opfer auf einen falschen Server geleitet haben. Dort wurden seine Login-Daten abgefragt. In diesem Fall war die richtige E-Bay-Seite gar nicht involviert und konnte technisch nichts dagegen unternehmen.
Der «Kalte Krieg» der Webapps
Noch gefährlicher als Phishing-Angriffe dieser Art sind aber die neuen Phishing-Attacken, die über den richtigen Server laufen. Für den Benutzer sind diese Angriffe nicht identifizierbar, da es sich um eine Schwachstelle der Applikation handelt. Cross-Site-Scripting- oder Forceful-Browsing-Schwachstellen können diese Art Attacke verursachen. E-Bay hat in der Vergangenheit Cross-Site-Scripting-Schwachstellen aufgewiesen, welche Phishing über den richtigen Server ermöglicht haben. Diese Schwachstellen wurden von E-Bay über lange Zeit als ungefährlich abgetan, weil nicht das ganze Ausmass dieser Angriffsmöglichkeit erkannt wurde. Attacken wie diese sind auch bei Einhaltung der publizierten Anti-Phishing-Richtlinien nicht zu verhindern, falls die Applikation verwundbar ist. In Zukunft werden Phishing-Angriffe über Cross Site Scripting und Forceful Browsing zunehmen und schwieriger zu erkennen sein.
Sichere Webapplikationen
Um Webapplikation gegenüber den immer raffinierteren Attacken auf Applikationsebene zu schützen, ist eine Reihe von Massnahmen nötig. Grundsätzlich müssen die Webapplikationen und Webserver vor ungültigen Requests geschützt werden. Durch mehrstufige Filterung und Validierung dürfen nur noch gültige Anfragen und Daten an die Applikation gelangen. Die wichtigsten Anforderungen für sichere Webapplikationen sind:
hoch entwickelte Eingabe-, Protokoll- und Request-Filter auf allen Ebenen
von der Applikation entkoppelte Authentisierung, damit geschützte Bereiche in keiner Form anonym erreicht werden können
kryptografische URL-Verschlüsselung und HTML Form Protection zur Verhinderung verschiedener Ausprägungen von Session Riding und Forceful Browsing
sicherer Session Handling-Mechanismus mit starker Authentisierung
vorgelagerte SSL-Terminierung
Wenig Infos preisgeben
Webapplikationen können heute mit einer applikatorischen Attackmethode einfacher angegriffen werden als gemeinhin angenommen wird. Für effektive Schutzmassnahmen ist das Verständnis für die Denkensweise und das Vorgehen von Hackern und die Funktionsweise der Attackmethoden nötig. Denn gezielte manuelle Angriffe sind um ein Vielfaches wirkungsvoller als die verbreitete Ausnutzung von bekannten Schwachstellen. Die Schutzmassnahmen in die Applikation zu integrieren führt nicht zum Erfolg, da die Applikation in diesem Fall kontinuierlich aktualisiert werden müsste, um gegen neue und veränderte Angriffsmethoden geschützt zu sein. Es gilt durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und Massnahmen in der Applikationsentwicklung die Risiken für Angriffe tief zu halten und möglichst wenig Information über die Webapplikation und die verwendeten Technologien preiszugeben.
Cyrill Osterwalder