Gymnasium Kirchenfeld. Webattacken. Gymnasium Kirchenfeld (fts) 28. Juni 2016

Transkript

1 Gymnasium Kirchenfeld Webattacken Gymnasium Kirchenfeld (fts) 28. Juni 2016 Dieses Werk steht unter einer Attribution-NonCommercial-ShareAlike 3.0 License (CC BY-NC-SA).

2 Inhaltsverzeichnis 1 Einleitung Web-Attacken 2 2 SQL-Injection 3 Beschreibung Beispiel Massnahmen Cross-Site-Scripting (XSS) 5 Beschreibung Beispiele Massnahmen Aufgabe DDoS Distributed Denial of Service 7 Beschreibung Beispiel Massnahmen Phishing 10 Beschreibung Beispiel Aufgabe Massnahmen Gymnasium Kirchenfeld (fts) II

3 Abbildungsverzeichnis glasbergen.com I 1.1 Web-Attacken SQL-Injection SQL-Injection SQL-Injection DDoS SQL-Injection Phishing Phishing Phishing Gymnasium Kirchenfeld (fts) 1

4 1 Einleitung Web-Attacken Abbildung 1.1: Web-Attacken Durch die Vernetzung unserer Welt und dem Einzug von Online-Währungen und Kreditkarten wird das Internet vermehrt Zielscheibe von unlauteren Machenschaften. Was sind die gängigsten Attacken, wie funktionieren diese und was kann dagegen unternommen werden? Gymnasium Kirchenfeld (fts) 2

5 2 SQL-Injection Abbildung 2.1: SQL-Injection Beschreibung Werte die vom Benutzer in einem HTML-Formular eingegeben werden, müssen für die Datenbankabfrage in einen SQL-Befehl verpackt werden. Unter Umständen kann ein Angreifer durch Manipulation dieser Eingaben eine völlig andere SQL-Abfrage erzwingen und dadurch entweder an Daten gelangen, die nicht für ihn gedacht sind, Daten löschen, Daten manipulieren oder die Datenbank soweit verändern, dass diese gar nicht mehr gebraucht werden kann. Beispiel Das folgende Suchformular dient als Sucheingabe bei einer Bibliotheks-Webseite: Clash of Kings Der Eingabetext des Suchformulars wird an den Server übermittelt und dort in ein SQL-Select-Statement eingefügt. Gibt man also im Formular den Begriff «Clash of Kings» ein, so wird auf dem Server die folgende SQL-Abfrage ausgeführt: SELECT * FROM books WHERE title LIKE "%Clash of Kings%" Ein Angreifer könnte nun aber die Eingabe wie folgt gestalten: Clash of Kings% ; DROP TABLE books Nun werden auf dem Server mehrere SQL-Anfragen ausgeführt: SELECT * FROM books WHERE title LIKE "%Clash of Kings%"; DROP TABLE books; --%" Dies wird erreicht durch das Abschliessen des ersten Befehls mit dem Strichpunkt. Das Anführungszeichen davor wird auch benötigt, damit der erste Teil weiterhin ein gültiges SELECT bleibt. Nach dem Strichpunkt kann nun ein beliebiger SQL-Befehl folgen. Dieser wird wiederum mit einem Strichpunkt abgeschlossen. Gymnasium Kirchenfeld (fts) 3

6 Webattacken SQL-Injection Auf dem Server wird nun noch das zweite Prozentzeichen und das schliessende Anführungszeichen angehängt. Damit das nicht zu einem ungültigen SQL-Befehl führt, kommentiert man den Rest mit dem doppelten Bindestrich aus. Aufgabe Untenstehendes Autonummernschild soll eine SQL-Injection-Attacke auf die Datenbank der Verkehrspolizei auslösen. In welchem Szenario und mit welchem SQL-Befehl würde diese Attacke funktionieren? Aufgabe Die Schule bietet eine Schnittstelle zur Ausgabe des Notenschnittes an: Im Formular wird der Benutzernamen des gewünschten Schülers/der gewünschten Schülerin eingetippt. Als Ergebnis wird dessen/deren Gesamtdurchschnitt ausgegeben. Beispiel: fritzli.meier Damit erstellt der Server die folgende SQL-Anfrage: SELECT AVG(note) as schnitt FROM noten WHERE sus = "fritzli.meier" Welche Möglichkeiten einer SQL-Injection gibt es? Könnte man Daten löschen? Könnte man Noten ändern? Versuche eine möglichst «sinnvolle» SQL-Injection zu schreiben. Massnahmen Die Rechte des verwendeten DB-Users einschränken (z.b. nur SELECT, oder ev. UPDATE, INSERT und DELETE zulassen, Rechte je nach Tabelle und Datenbank). Maskieren (engl. escapen) der Metazeichen des Datenbanksystems (bei SQL: Strichpunkt, Backslash und Anführungszeichen). Je nach Python-Datenbank-Modul wird bereits eine Funktion zur Verfügung gestellt. Dadurch wird z.b. ein Anführungszeichen aus dem Formular unschädlich, weil es im SQL-Statement nicht mehr als Anführungszeichen mit Bedeutung, sondern nur noch als das Zeichen «Anführungszeichen» interpretiert wird. Die beste Lösung ist die Verwendung von sogenannten prepared statements. Dabei handelt es sich um SQL-Abfragen die vorbereitet werden. Die Benutzereingaben werden dann als Parameter an die vorbereiteten Abfragen gebunden. Dabei kann das System alle nötigen Schritte vornehmen und die Daten entsprechend escapen oder weitere Massnahmen ergreifen. sql = """SELECT AVG(note) as schnitt FROM noten WHERE sus = %s;""" data = "fritzli.meier" cur.execute(sql, data) Gymnasium Kirchenfeld (fts) 4

7 3 Cross-Site-Scripting (XSS) Abbildung 3.1: SQL-Injection Beschreibung Von XSS spricht man immer dann, wenn eine Web-Anwendung Daten von Benutzern entgegennimmt und diese ohne Überprüfung an den Web-Browser des Benutzers weitersendet. So können Angreifer Skripte im Browser der Opfer ausführen lassen und damit Sessions «hijacken», Webseiten verunstalten oder gar eine Sicherheitslücke des Browsers ausnützen um das System mit Malware (Viren, Würmer,... ) zu infizieren. Beispiele Ein einfaches und eher harmloses Beispiel ist das prominente Platzieren eines Bildes auf einer Webseite. Dies kann z.b. durch Manipulation der Kommentarfunktion (die normalerweise zuunterst an der Seite angezeigt wird) mit etwas CSS erreicht werden: Mehr Schaden anrichten lässt sich mit sogenanntem «Session Hijacking». Gelingt es nämlich per XSS JavaScript-Code auf der Seite einzubinden, dann lässt sich damit das Session-Cookie des Opfers auslesen. Dieses wird bei vielen Webseiten nach einer Anmeldung erstellt und hat eine bestimmte Gültigkeitsdauer. Während dieser Dauer bleibt der entsprechende Browser angemeldet. Das bedeutet, dass sich der Angreifer in dieser Zeit beliebig auf dem entsprechenden Konto (z.b. einem Facebook-Profil) bewegen kann. (Deshalb muss man häufig bei wichtigen Funktionen, wie z.b. Passwort-Ändern, nochmals das eigene Kennwort angeben. So kann erreicht werden, dass bei einem Session-Hijacking wenigstens nicht noch das Passwort geändert werden kann!) Gymnasium Kirchenfeld (fts) 5

8 Webattacken Cross-Site-Scripting (XSS) Abbildung 3.2: SQL-Injection Massnahmen Client-Seitig Von dieser Attacke ist auch der Benutzer betroffen. So könnte er sich auf einer für ihn vertrauenswürdigen Seite durch fremden Code infizieren. Hier hilft nur JavaScript und weitere Plugins wie Flash und Java deaktivieren. Falls diese nämliche eine Sicherheitslücke beinhalten, kann diese durch XSS ausgenützt werden. Bekannte Sicherheitslücken werden in der Regel rasch behoben. Deshalb lohnt es sich, Browser, Plugins und Betriebssystem auf dem neusten Stand zu halten. Server Auf dem Server müssen die Benutzereingaben überprüft werden, bevor diese in der Datenbank abgespeichert und dann an andere Benutzer weitergegeben werden. So könnte man z.b. alle HTML-Metazeichen escapen, oder aber gewisse Tags zulassen und andere nicht (wie das z.b. DokuWiki macht). Alle gängigen Blogs und Wikis besitzen heute solche Filter, die sich nach Bedürfnis einstellen lassen. Aufgabe Unter findest du ein Gästebuch. Verfasse einen Eintrag mit XSS. Wähle eine Art der XSS-Attacke aus der folgenden Liste. Teste deinen Eintrag mit der Vorschau-Funktion und speichere deinen Hacker-Code in einem Text-Editor, damit er nicht verloren geht (Das Gästebuch speichert keine Einträge in der Datenbank sonst könnte man die Einträge kaum mehr angucken). CSS Verunstalten der Seite durch eingebettetes style-element HTML Anzeigen eines Login-Formulars mit externer Ziel-URL HTML+CSS Anzeigen und Positionieren eines Bildes IFrame Anzeigen einer fremden Seite in einem IFrame JavaScript Popup-Werbefenster mit JavaScript Gymnasium Kirchenfeld (fts) 6

9 4 DDoS Distributed Denial of Service Abbildung 4.1: DDoS Beschreibung Bei der DDoS-Attacke werden gleichzeitig Anfragen von vielen Geräten auf einen Server gemacht. Dieser kann dann diese nicht mehr beantworten, stürzt ab oder kann jedenfalls auch keine «echten» Clients mehr bedienen. Diese Attacke ist auf diversen Ebenen möglich: Man könnte mit komplizierten Datenbank-Abfragen (z.b. beim SBB-Fahrplan Fahrten quer durch die Schweiz mit Zwischenhalten) den Datenbank-Server überlasten. Oder aber man bringt den Webserver an sein Limit, indem viele Clients Anfragen platzieren. Weitere Attacken sind mit DNS und anderen Technologien auf den unteren Schichten möglich. Damit diese Attacken zeitgleich von vielen Geräten gestartet werden können, behelfen sich die Angreifer sogenannter Bot-Nets. Dabei handelt es sich um infizierte Computer irgendwo bei jemandem zu Hause oder im Büro. Deren Benutzer merken nicht, dass sich ihre PCs auf Knopfdruck eines Hackers an einem DDoS-Angriff beteiligen. Beispiel 2007 gab es eine Serie von Angriffen auf Webseiten von estnischen Organisationen. Dazu der folgende Wikipedia-Artikel: Massnahmen Der Server müsste einen Schutz-Mechanismus haben und nur eine gewisse Anzahl Anfragen von derselben IP-Adresse zulassen. Das funktioniert gut bei DOS, aber bei DDoS wird es etwas komplizierter der Server Gymnasium Kirchenfeld (fts) 7

10 Webattacken DDoS Distributed Denial of Service Abbildung 4.2: SQL-Injection Gymnasium Kirchenfeld (fts) 8

11 Webattacken DDoS Distributed Denial of Service muss ein Muster des Angriffs erkennen, um die beteiligten Bots von den korrekten Clients zu trennen. Zudem sollten ungültige Anfragen gefiltert werden. Durch Verteilung der Serverlast auf mehrere Geräte, kann ein Angriff auch abgeschwächt werden. Wenn nur ein Server angegriffen wird, können die anderen ihre Arbeit weiterführen. Präventiv müsste man versuchen die Bot-Netze zu zerstören. Je weniger Geräte sich an einem Angriff beteiligen, umso einfacher ist es dem Angriff entgegenzuwirken. Zudem wird natürlich auch der Angriff selbst abgeschwächt. Dies geschieht einerseits mit Antivirus-Software auf dem eigenen Gerät und andererseits durch die entsprechenden Behörden, wenn irgendwo ein Drahtzieher eines solchen Netzes verhaftet wird. Gymnasium Kirchenfeld (fts) 9

12 5 Phishing Abbildung 5.1: Phishing Beschreibung Bei «Phishing» 1 wird der Benutzer mit einer aufgefordert, einen Link zu öffnen und sich dort mit seinem Benutzer-Account anzumelden. Da es sich aber bei der Webseite um eine präparierte, teilweise äusserst exakt nachgebaute Kopie der Originalwebseite handelt, landen Benutzername und Passwort beim Betrüger und können nun beliebig verwendet werden. Beispiel Das folgende Beispiel zeigt eine Phishing-Attacke auf die PayPal-Kunden: Zuerst wird das untenstehende an möglichst viele Leute versandt. Aufgabe Notier dir drei Punkte, die dir beim Durchlesen des oben stehenden s auffallen und die dagegen sprechen, dass es sich um ein offizielles von PayPal handelt. 1 Das Wort kommt aus dem Englischen und setzt sich aus «Phreak» und «Fishing» zusammen, wobei «Phreak» wiederum eine Konstruktion aus «Phone» und «Freak» und in der Vor-Internet-Ära verwendet wurde für Hacker, die mit gestohlenen Kreditkarten-Nummern Stundenlange Übersee-Datenverbindungen per Telefon ergaunerten. Gymnasium Kirchenfeld (fts) 10

13 Webattacken Phishing Abbildung 5.2: Phishing Gymnasium Kirchenfeld (fts) 11

14 Webattacken Phishing Viele s werden im Spam landen oder gar nicht ankommen. Einige aber erreichen ihr Ziel. Bei den Empfängern wird es wohl einige PayPal-Benutzer haben und vielleicht fällt ja jemand auf den Betrugsversuch hinein. Klickt diese Person nun auf den Link im (der aussieht wie ein offizieller PayPal-Link), öffnet sich im Browser die folgende Webseite: Abbildung 5.3: Phishing Die Seite ist der offiziellen PayPal-Webseite nachempfunden und hat ein Formular, wo man sich in sein vermeintliches PayPal-Konto einloggen kann. Tippt man dort seine Login-Daten ein, so gehen diese in den Besitz des Betrügers über. Wahrscheinlich wird man anschliessend auf eine Seite mit einem Wartungshinweis oder einer Fehlermeldung weitergeleitet. Oder man kommt auf die offizielle PayPal-Seite (wo man dann zwar nicht eingeloggt ist). Auch wenn man nun merkt, dass etwas nicht stimmt und sofort das Passwort ändert und PayPal kontaktiert, ist es wohl schon zu spät. Der Betrüger hat die Login-Informationen und diese wurden ev. bereits automatisch verwendet um Zahlungen zu betätigen. Massnahmen Fast alle gängigen Browser warnen vor bekannten «Phising»-Seiten. Allerdings kann eine solche Liste von bekannten Betrüger-Webseiten nie komplett sein, zudem kann im schlimmsten Fall schon durch Besuchen der Webseite Schaden angerichtet werden. Deshalb sollte man solche s wenn möglich schon vorher erkennen und den Link gar nicht anklicken. Punkte die auf Phishing hindeuten sind: Schlechte Sprache (Fehler im Text) Falsche Sprache (wieso sollte mir die Post auf Englisch schreiben?) Gymnasium Kirchenfeld (fts) 12

15 Webattacken Phishing Unpersönliche Anrede Dringlichkeit und Drohung Schlussendlich kann man im Quelltext der das genaue Ziel des Links herausfinden. Dieses wird nicht auf die korrekte Domäne (z.b. paypal.de) sondern auf eine ähnliche Domäne (z.b. pay-pal.sx) eine Unterdomäne (z.b. paypal.xy.tu) oder eine feste IP-Adresse verweisen. Gymnasium Kirchenfeld (fts) 13