Aktuelle Angriffsszenarien für Webanwendungen

Transkript

1 Aktuelle Angriffsszenarien für Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

2 Die Ruhr-Universität Bochum (RUB) Das HGI 2014 Rückblick Die Ruhr-Universität Bochum (RUB) Baubeginn Januar 1964 Start im Juni Fakultäten (Volluniversität) Mehr als Studierende Mehr als Beschäftigte Mehr als 450 Professuren

3 Das Horst Görtz Institut für IT-Sicherheit Das HGI 2014 Rückblick Das Horst Görtz Institut für IT- Sicherheit Gründung: Arbeitsgruppen 80+ WissenschaftlerInnen 800+ ITS-Studierende 4 Studiengänge 60+ Absolventen pro Jahr 100+ Projektpartner Viele (internationale) Preise

4 Struktur Beteiligte Lehrstühle und Arbeitsgruppen Text

5 Studium der IT-Sicherheit Studienangebot und Aufbau Text

6 Das ist IT-Sicherheit Netz- und Datensicherheit Beispiel: Internetsicherheit Systemsicherheit Beispiel: Telemedizin Eingebettete Sicherheit Beispiel: Autotüren öffnen

7 Teil 1: Der BSI-Lagebericht 2014 Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

8 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Klare Beschreibung der Situation Sta$s$ken und Fallbeispiele Vorteile einer Meldepflicht für Sicherheitsvorfälle werden dargestellt exis$ert für Bundesbehörden Im Vorwort Verweis auf das geplante IT- Sicherheitsgesetz wird gerade im Bundestag disku$ert Die Lage ist nicht gut!

9 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Ursachen Generische Angriffspla0orm Internet "Digitale Sorglosigkeit" (Ungeprü<e APPs!) Schwachstellen in So<ware Veraltete und ungepatchte So<ware Mobile Endgeräte ("Always on"!) Unzureichende Absicherung industrieller Steuerungssysteme (Fallbeispiel)

10 Produktsupport ausgelaufen ist, sollten nicht Bedeutung. Diese sind zunehmend gezwungen, eine Priorisierung bei der Beseitigung von bereich ein Problem, mehr sondern erfolgen. betreffen Aktuelles in gleicher Beispiel ist Microsoft Ungepatchte Systeme der Regel sind nicht auch nur keine im Sicherheitsaktualisierungen Desktop- Weise auch den Server- Windows und XP, Mobilbereich: dessen erweiterter Produktsupport im April 2014 endete. Seit diesem Zeitpunkt gibt Webseiten, 8 Version 1.3 der Serversoftware Apache verwendeten. Im Mobilbereich sind insbesondere auf Sicherheitsupdates. Dennoch lag der Marktanteil Herausgabe eines Sicherheitsupdates ( Patch ) versionen anzutreffen. noch 9 bei Viele über Hersteller acht Prozent, von End-weltweit bei mehr als von Windows XP in Deutschland Mitte des Jahres eine rasche Einspielung dieser Softwareaktualisierungen zwingend erforderlich. Falls Details oder geräten stellen die Aktualisierungen 10 nur für eine gar Exploits, die eine bestimmte Schwachstelle kurze Zeitspanne bereit. Spätestens mit Erscheinen des jährlichen Nachfolgemodells wird die Hoher Zeitdruck in der SW- Entwicklung ausnutzen, vor dem Patch des Softwareherstellers an die Öffentlichkeit Einsatz gelangen veralteter (Zero-Day-Exploits), Software und Unterstützung älterer Versionen eingestellt. Neu ist bei einem bedingt Einsatz ungepatchter der betroffenen Sicherheitslücken Systeme Software entdeckte Sicherheitslücken werden dann nicht höchste Vorsicht geboten gab es bis Ende Juli mehr gepatcht und stellen somit eine Gefahr für fünf öffentlich bekannte Vorfälle dieser Art. ältere Geräte dar Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres Generell IT- gilt: Softwareprodukte, bei denen der System. Veraltete Patchstände von Betriebssystemen und Applikationen sind dennoch eines der Produktsupport ausgelaufen ist, sollten nicht Hauptprobleme, die bei Audits und Penetrationstests des BSI in Behörden festgestellt werden. mehr erfolgen. Aktuelles Beispiel ist Microsoft der Regel auch keine Sicherheitsaktualisierungen Auch viele Systeme von Privatanwendern Windows sind XP, dessen erweiterter Produktsupport nicht immer auf dem aktuellen Stand. im April 2014 endete. Seit diesem Zeitpunkt gibt Sicherheitsupdates. Dennoch lag der Marktanteil Trotz der gängigen Empfehlung, Auto-Update- von Windows XP in Deutschland Mitte des Jahres Tabelle 1: Auswahl Funktionalitäten von Softwareprodukten mit zu hoher nutzen, Relevanz haben in Deutschland nach Erkenntnissen von IT-Experten 10 Schwachstellen Davon kritisch noch bei über acht Prozent, weltweit bei mehr als mindestens zehn Prozent aller eingesetzten Windows-Betriebssysteme und anderer gängiger Abbildung 1: Anzahl aller Schwachstellen der gelisteten Softwareprodukte Einsatz Softwareprodukte veralteter Software veraltete und Patchstände. 7 * Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der ungepatchter Systeme Schwachstellen bis September hochgerechnet. RUHR-UNIVERSITÄT BOCHUM Die Schwachstellen Lage vorzunehmen der IT-Sicherheit und sich auf in Deutschland kritische Schwachstellen zu konzentrieren (BSI) durch den Softwarehersteller bekannt. Daher ist Schwachstellen Tabelle 1: Auswahl von Softwareprodukten mit hoher in Relevanz Software Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres IT- Quelle: BSI

11 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Fallbeispiele Bundesverwaltung: Angriffe auf das Regierungs- netz, die mit normalen Methoden nicht erkannt werden können; davon 1 pro Tag von Nachrichtendiensten Privatanwender: 34 Millionen Benutzernamen/ Passwörter "aufgefunden"; mehrere Millionen Fritz!Box Homerouter komplev übernehmbar; Geodo Onlinebanking- Trojaner (Drive- by- Download); ibanking- Schadso^ware gegen smstan; Wirtscha<: Heartbleed (SSL); Dragonfly (Produk$onsnetze); Ebury (SSH); ShellShock (Bash- Shell); BankroV Fa. CodeSpaces nach Datenlöschung in der Cloud Quelle: BSI

12 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Angriffsmethoden SPAM, Botnetze, Social Engineering, IdenStätsdiebstahl, DoS Schadprogramme Drive- By- Exploits und Exploit- Toolkits Advanced Persistent Threats (APT) Nachrichtendienstliche Cyberangriffe Angreifer Cyber- Kriminelle, Nachrichtendienste, HackSvisten, Innentäter

13 ggf. ungeschützt. Klassische signaturbasierte Komponenten von Virenschutzprogrammen stoßen dadurch zunehmend an die Grenzen ihrer Wirksamkeit, wodurch eine Fortentwicklung der Schutzmaßnahmen notwendig wird. Weiterhin betreiben die Entwickler der Schadprogramme viel Aufwand, um mit immer neuen Methoden Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Schadprogramme eine manuelle Analyse von Schadprogrammen täglich und Vorfällen neue durch Analysten Schadso<warevarianten und Forensiker kein InformaSonsvorteil für Verteidiger oder im Betr programme u Webseitenbe nannten Exp Exploits kom Einsatz, die a Schwachstell grammen zu Watering-Ho Exploits für g Abbildung 3: Anzahl Windows-Schadsoftwarevarianten Lage Drive-by-E gezielt kom platziert. Laut einer A sing-daten Drive-by-E Schadsoftw Quelle: BSI Deutschlan

14 RUHR-UNIVERSITÄT BOCHUM Die Lage Abbildung 3: Anzahl der Windows-Schadsoftwarevarianten IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits gezielt kompromittierten verwundbaren Webseiten platziert. Laut einer Auswertung der Google Safe-Browsing-Daten 12 lag der Anteil von Webseiten mit Drive-by-Exploits oder anderer Verbreitung von Schadsoftware in den letzten zwölf Monaten in Deutschland bei vier Prozent. Schwach stellen im Internet Explorer. Auch Oracle Java ist weiterhin ein beliebtes Angriffsziel, wenn auch nicht mehr so im Fokus wie noch Rechner wird nach bloßem Betrachten der Webseite kompromi_ert (Landing Page) Code-Einbettung einer Exploit-Webseite Opfersystem Aufruf einer Exploit-Website über beliebig viele Umleitungen Exploit-Webseite Auslieferung von Exploit-Code, Ausnutzung einer Schwachstelle, Befehl zur Installation eines Dropper -Schadprogramms Nachladen des Dropper -Schadprogramms über beliebig viele Weiterleitungen Nachlade-Webseite für Schadprogramme Auslieferung des Dropper -Schadprogramms, das von diesem oder anderen Servern die eigentlichen Schadprogramme nachlädt Abbildung 4: Beispiel einer Schadprogramminfektion per Drive-by-Exploit Quelle: BSI

15 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits Google Safe- Browsing: 4% aller Webseiten sind verseucht Infizierung über Werbebanner (350 Server in Deutschland verseucht in 2013) Toolkits: Viele ältere Exploits werden auf einer Webseite gebündelt; professionelle Erstellung der Toolkits Quelle: BSI

16 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) APT-Fallbeispiel: Angriff auf Stahlwerk IniSaler Zugriff auf das Büronetz migels Spear- Phishing und Social Engineering Von dort sukzessiver Zugriff auf die ProdukSonsnetze (keine klare Trennung!) Ausfälle einzelner Komponenten häu<en sich Ein Hochofen konnte nicht mehr kontrolliert heruntergefahren werden! Quelle: BSI

17 Teil 2: Sicherheit von Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

18 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

19 Reflected XSS (non-persistent) 3: GET+ JS-XSS vic$m.com Rendering Javascript AJAX engine 4: HTML + JS-XSS (active) 1 2: HTML + JS-XSS (inactive) avacker.org

20 Stored XSS (persistent) 2: GET vic$m.com Rendering Javascript AJAX engine 3: HTML + JS-XSS 1: HTML + JS-XSS 1 avacker.org

21 DOM based XSS (Local XSS) GET welcome.html 3: GET HTTP 1.1 host: vic$m.com Rendering Javascript AJAX engine 4: HTML 1: GET 5: XSS executed during (local) rendering 2: HTML + <a href= JS-XSS name= <script>alert(document.cookie)</script> >Klick (inactive) me!</a> avacker.org

22 Wie häufig ist XSS? Masterarbeit C. Korolczuk "HTMLSec Sweeper" reflected XSS Typisch für Eingaben in Suchfeldern Alexa Top 500 # Webanwendungen: Seiten: 31,4% verwundbar, 354 Schwachstellen 500 Seiten: 41,6% verwundbar, 527 Schwachstellen ohne Login! HTMLsec sweeper

23 HTML5: Scriptless Attacks World Wide Web Consor$um ( konnte sich mit XHTML nicht durchsetzen Web Hypertext Applica$on Technology Working Group (WHATWG), gegründet 2004, standardisiert HTML5 23

24 HTML5: XSS and Scriptless Attacks 24 No. Time Source Des$na$on Protocol Info HTTP GET /?s HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?c HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?r HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?t HTTP/ HTTP HTTP/ OK (text/html)

25 HTML5: XSS and Scriptless Attacks 25

26 HTML5: Even More Scriptless Agacks Paul Stone: Pixel Perfect Timing AVacks Scalable Vector Graphics (SVG)- Bilder erlauben den Einsatz verschiedener Grafikfilter Aus der Verarbeitungszeit dieser Filter kann man auf Inhalte einer anderen Webseite schließen (z.b. History) mxss: Muta$on based XSS DOM Clobbering Problem: Browser werden zunehmend in sicherheitskri$schen Anwendungen eingesetzt: APP- Entwicklung, Cloud (siehe Demo) 26

27 HTML5: mutation XSS

28 HTML5: mutation XSS Harmloses Markup wird erst im Browser "scharfgeschaltet" Beispiel IN: <img src="foo" alt="``onerror=alert(1)" /> OUT: <IMG alt=``onerror=alert(1) src="x">

29 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

30 Cloud Computing: Architekturübersicht hvps:// Starte neue VM Speichere Daten Berechne Bilanzsumme 2 Persistente Datenspeicherung 4 Cloud Controller, z.b. Eucalyptus, Open Nebula, Nimbus 3 DHCP DNS 1 VM VM VM VM VM VM VM VM VM Hypervisor Hypervisor Hypervisor Betriebssystem Betriebssystem Betriebssystem Compute Node 1 Compute Node 2 Compute Node 3

31 Amazon AWS: Überblick Screenshot webinterface 31

32 2011: Angriff auf das SOAP-Interface von Amazon AWS und Eucalyptus XML Signature Wrapping, auch für Eucalyptus (private Cloud) 32

33 2014: Angriff auf OpenNebula (private Cloud)

34 Your Software at my Service: Security Analysis of SaaS Single Sign-On Solutions in the Cloud Analyse von 22 SaaS-Providern: 20 konnten kompromittiert werden Erfolgreiche Kompromittierung: Login mit fremdem Account Zugriff auf fremde Daten ohne Login Angriffsmethoden: Signature Exclusion, fake Cer$ficates XML External En$ty AVacks, XSLT, Replay Recipient Confusion, XSW, Cer$ficate Injec$on

35 Evalua$on Results

36 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

37 SSL/TLS: Historie der Angriffe 2014: Heartbleed, 3Shake, Poodle, Bleichenbacher 2015: Freak, SmackTLS

38 Neue Bleichenbacher-Seitenkanäle

39 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 1

40 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 2 Exception-Handling in Java ist ein Problem JSSE- Server überprü< PKCS#1- Struktur Im Fehlerfall wird eine ExcepSon geworfen Zeitunterschied: 20μs, meßbar über das Netzwerk

41 Neue Bleichenbacher-Seitenkanäle Cavium Chip Eigenimplementierung der PKCS#1- Prüfung im Cavium-Chip Chip überprü< nur, ob 0x?? 0x02 gegeben ist Falls nicht, meßbarer Zeitunterschied von 10μs

42 Neue Bleichenbacher-Seitenkanäle Fazit

43 Fazit Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

44 Fazit BSI-Lagebericht 2014 Sicherheitsvorfälle häufen sich und werden zunehmend gefährlicher Angreifer verwenden überwiegend alte, bekannt Methoden Forschung Akademisch sind sehr viel mehr Systeme angreipar, durch "Responsible Disclosure" Beitrag zur Verbesserung der IT- Sicherheit Zusammenarbeit muss verbessert werden, viele Anregungen werden von der Industrie nicht aufgenommen: Fachkrä<emangel!

45 Horst Görtz Institut für IT-Sicherheit