Web-Applikationen im Visier der Hacker

Webbasierte Applikationen sicherer machen

Interview mit Engin Kirda und Christopher Krügel, Security-Forscher an der Technischen Universität Wien, Institut für Informationssysteme.

Wo liegen denn die größten Schwachstellen im Bereich webbasierter Applikationen?

Die meisten Webanwendungen sind für alle Nutzer aus dem Internet erreichbar. Daher gibt es eine große Menge an potentiellen Angreifern, die nicht durch Firewalls aufgehalten werden können - die Applikationen sollen ja erreichbar sein. Aus demselben Grund hilft auch keine End-zu-End Verschlüsselung, etwa SSL-basiert. Die Daten werden zwar verschlüsselt über das Netzwerk gesendet, aber das spielt für die Webanwendung, die diese Daten verarbeitet, keine Rolle.

 

Liegt der Ausweg darin, einen eigenständigen Lösungsansatz zu entwickeln?

Genau dies stellt ein anderes großes Problemfeld dar, nämlich dass viele Unternehmen eigenständige Lösungen entwickeln wollen. Für diese Lösungen werden die vorhandenen Mitarbeiter eingesetzt, die kaum Erfahrung im Schreiben sicherer Software haben. Besonders die im Web eingesetzten Scriptsprachen wie PHP und Perl machen es auch unerfahrenen Programmieren leicht, schnell Anwendungen zu entwickeln. Nachdem diese Programme dann auch oft unter Zeitdruck erstellt werden, zählt Funktionalität mehr als sichere, robuste Programmierung.

 

Wie sieht es mit der inneren Sicherheit im Unternehmen aus?

Webanwendungen und Webserver werden oftmals als "Eingangstür" in das interne Netzwerk missbraucht. Eine Firewall blockiert typischerweise Verbindungen von außen zu den meisten Rechnern im internen Netzwerk. Wenn der Angreifer jedoch Kontrolle über den Rechner erlangen kann, wo die Webanwendungen laufen, kann er diesen Rechner dazu verwenden, weitere Maschinen im internen Netz anzugreifen, die dadurch jetzt nicht mehr durch die Firewall geschützt sind, da der Webserver hinter der Firewall liegt.

 

Können Sie Unternehmen erläutern, was sie im Bereich der Web Application Security konkret tun müssen?

Das Wichtigste ist es, zu erkennen, dass keine einzelne Maßnahme ausreicht, die Sicherheit zu garantieren, das heißt es gibt keine "silver bullet". Es ist das Beste, eine Verteidigungslösung aufzubauen, die aus mehreren Schichten besteht. Das schließt die Ausbildung der Mitarbeiter genau so ein wie das Absichern der Maschine, auf der die Webapplikationen laufen. Zusätzlich ist es oft sinnvoll, die eigene Anwendung auf Sicherheitslösungen durch Code Audits oder Penetration Testing überprüfen zu lassen. Dabei ist es normalerweise besser, diese Überprüfung von Leuten durchführen zu lassen, die nicht an der Entwicklung der Software selbst gearbeitet haben, zum Beispiel durch externe "Tiger Teams". Der Grund ist, dass man als Entwickler nicht so leicht seine eigenen Fehler findet. Auch fehlt es oft an der Erfahrung, wie ein Angreifer zu denken und zu handeln.

 

Wie setzt man also strategisch den Schwerpunkt zwischen Technik, Mensch und Organisation?

Im Zentrum steht der Mensch, insbesondere die Programmierer. Diese müssen schließlich Anwendungen entwickeln, die möglichst wenige Fehler haben. Dazu kann ein Unternehmen sowohl technisch als auch organisatorisch beitragen. Auf der einen Seite können entsprechende Entwicklungswerkzeuge beschafft werden, auf der anderen Seite können die Mitarbeiter mit zusätzlichen Schulungen ausgebildet werden. Ganz wichtig ist es aber auch, ein Klima zu schaffen, wo Mitarbeiter nicht nur für die Funktionalität belohnt werden, sondern wo auch der sichere Code einen Teil der monetären Leistungsvereinbarung darstellt.

 

Das klingt kompliziert, wie wählt man passende Produktanbieter aus?

Ein wichtiger Punkt ist es, den Hintergrund des Anbieters zu hinterfragen: Handelt es sich um eine unbekannte Firma, haben die Leute bereits etwas auf dem Gebiet gemacht, haben sie Zertifikate oder ähnliches? Es gibt leider zahlreiche Firmen, welche die Angst der Kunden ausnützen und nur scheinbare Sicherheit verkaufen. Zum Beispiel ist es nicht unbedingt ein schlechtes Zeichen, wenn eine Firma ehemalige "Hacker" beschäftigt. Ehemalige Hacker haben neben dem Know-how nämlich oft die richtige Einstellung und den richtigen Blickwinkel, um Probleme zu finden. Auch bei Consulting Firmen ist Vorsicht geboten; jener Junior Consultant, der die eigentlichen Tätigkeiten ausübt, muss nicht notwendigerweise über ausgiebige Erfahrung oder Wissen verfügen.

 

Was sollte und kann man schon im Vorfeld tun, zum Beispiel im Bereich des sicheren Programmierens, wie kommt man diesem hehren Ziel näher?

Klarerweise ist das Beste, für eine gute Ausbildung der Programmierer zu sorgen. Hier sind auch insbesondere die Universitäten gefordert, die leider viel zu wenig Gewicht auf das Erstellen korrekter und getesteter Programme legen und auch kaum Security im Lehrplan haben. Wir versuchen natürlich, diesem Trend an der TU entgegenzuwirken. Unmittelbar könnte ein Unternehmen durch Workshops versuchen, die Sensibilität der Mitarbeiter für klassische Sicherheitsprobleme und Programmierfehler zu schärfen.

 

Ist auch der Umgang mit entsprechenden Werkzeugen sinnvoll?

Daneben sollten natürlich auch Tools zum Einsatz kommen, die helfen können, Programmierfehler zu finden. Dies kann durch automatische Analyse von Source Code erfolgen, was beispielsweise in unserem Pixy Projekt geschieht. Oder durch das Testen der Programm-Interfaces mit inkorrektem Input, etwa in unserem SecuBat Projekt. Des Weiteren ist es sinnvoll, den Rechner mit dem Webserver und den Webapplikationen vom internen Netzwerk zu trennen, in einer Art ‚demilitarisierten Zone'. Außerdem sollten die Applikationen nur mit jenen Privilegien laufen, die sie tatsächlich für die Aufgabe benötigen.

 

Kommen wir auf Ihr Labor zu sprechen, was haben Sie denn aus den unzähligen Praxiserfahrungen gelernt?

Die Expertise des "Secure System Lab" der TU besteht darin, dass wir uns seit mehreren Jahren sowohl akademisch als auch praktisch mit einer Reihe von Problemen der Web Sicherheit befassen. Dabei entwickeln wir Lösungen für klassische Schwachstellen wie SQL Injection oder Cross-Site Scripting, beschäftigen uns aber auch mit Tools zur automatischen Erkennung von Schwachstellen in Programmen oder mit dem Thema Phishing. Die praktische Arbeit hat vor allem in der Kooperation mit österreichischen Banken ihren Niederschlag gefunden. Wir haben Seminare zur Weiterbildung der bankinternen Entwickler angeboten, als auch Analysen von Sicherheitslösungen durchgeführt.

 

Was haben Sie beziehungsweise die Kunden denn konkret daraus gelernt?

In unserem Kontakt mit den Bankkunden haben wir bemerkt, dass das Thema Websicherheit sehr relevant ist. Die Leiter der IT-Abteilungen sind sehr daran interessiert, den Wissensstand ihrer Mitarbeiter zu verbessern und die Anwendungen zu sichern. Allerdings ist uns auch aufgefallen, dass viele der Mitarbeiter, die im Bereich Web Software Entwicklung tätig sind, wenig Erfahrung mit aktuellen Bedrohungsbildern haben.

 

Das Interview führte Lothar Lochmaier