extra Sichere Anwendungen Security Das folgende Beispiel illustriert Application-Scanner, Web-Firewalls & Co. Sicherheit im Web 2.

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Application-Scanner, Web-Firewalls & Co. Sicherheit im Web 2.0 Web Application Security Gefahren und Schutzmaßnahmen Sichere Anwendungen Scanner für Webanwendungen Auf Mängelsuche Datenströme inspizieren Webvorkoster Vorschau Storage SaaS Public und Private Cloud Storage Veranstaltungen 20.ˇ ˇ21. September 2011, Oldenburg D.A.C.H. Security ˇ ˇ13. Oktober 2011, Nürnberg Security-Messe it-sa 22.ˇ ˇ23. November 2011, Prag ISSE Seite I Seite V Seite X Seite XII ix extra Security zum Nachschlagen: Security Sichere Anwendungen Web Application Security Gefahren und Schutzmaßnahmen Hacker haben in den letzten Jahren Webanwendungen aller Art als Einfallstor in Backend-Systeme entdeckt und nutzen dafür die Schwachstellen in den Anwen - dungen selbst aus. Sicherheitsüberlegungen müssen sich daher durch den gesamten Lebenszyklus einer Applikation einschließlich Planung ziehen. Das folgende Beispiel illustriert eine Situation, die beim Sicherheitsfachmann die Alarmglocken schrillen lassen sollte: Immer wenn ein Anwender einer Webapplikation in ein bestimmtes Feld eines Formulars ein Hochkomma eingibt, reagiert die Anwendung mit einem internen Fehler, gibt beispielsweise die Fehlermeldung Server Error aus. Bei beliebigen anderen Eingaben solange nur das Hochkomma nicht enthalten ist reagiert die Anwendung mit einer vernünftigen Antwortseite und liefert keinerlei weitere Informationen. Daraus lässt sich schließen, dass die ins Formular eingegebenen Benutzerdaten in den SQL-Interpreter der nachgelagerten Datenbank gelangen. Denn bestimmte Metazeichen wie dieses Hochkomma besitzen für den Interpreter Son - derfunktionen. Das bedeutet wiederum, dass ein Angreifer, allerdings mit einigem Aufwand, den Interpreter ansprechen und eigene SQL-Befehle in die Datenbank einschleusen kann mit der Folge, dass er Daten auslesen oder manipulieren kann. Sind dort vertrauliche Daten wie Benutzerdaten, Passwort-Hashes oder gar Kennwörter, Bankverbindungen et cetera gespeichert, kann man sich die Konsequenzen leicht ausmalen. Es ist ein Trugschluss, davon auszugehen, dass solche SQL-Schwachstellen nicht genutzt werden, weil das Verfahren viel zu aufwendig und kompliziert ist. Es bedarf zum Finden und Ausnutzen von SQL-Injection-Lücken lediglich eines Tools wie sqlmap, das zudem in der Lage ist, neben der Datenbank auch das zugrunde liegende Betriebssystem zu infiltrieren. Mit ein wenig Hintergrundwissen und der URL, unter der das fehlerhaft programmierte Formular läuft, kann das Ganze komplett automatisch ablaufen. Bereits nach ein paar Stunden des Bearbeitens der Webanwendung, oder mit ein wenig Glück auch deutlich frü- I

2 Ziel ÜBERSICHT ÜBER FEINGRANULARE ZIELE UND MASSNAHMEN ZUR UMSETZUNG Bewusstsein und Wissen schaffen für die erfolgreiche Umsetzung von sicheren Webanwendungen konkrete Anlaufstellen und Zuständig - keiten definieren Sicherheitsanforderungen für Entwicklungsphasen und -übergänge definieren und berücksichtigen Abnahme sicherer Webanwendungen Entwicklung und Implementierung sicherer Webanwendungen Festlegung verbindlicher Regeln für die Entwicklung und Bereitstellung von Sicherheitskomponenten Überprüfung von Sicherheitsmängeln im Code rechtzeitiges Erkennen von Fehlern und Finden von Lösungen Prozessverbesserung her, hat sqlmap große Datenmengen kopiert und an einen Speicherort geschrieben, an dem der Angreifer Zugriff auf sie hat. Angriffe wie das eben dargestellte SQL-Injection, Cross-Site Scripting oder Ses sion Hijacking zielen dabei auf Schwachstellen in den Webanwendungen selbst, und die Erfahrung zeigt, dass diese Art von Schwachstellen weit verbreitet ist. In den mittlerweile zur Messlatte gewordenen Top Ten des OWASP (Open Web Application Security Project) stehen sie ganz weit oben. Die Verantwortlichen kennen die Gefahr noch zu wenig oder unterschätzen sie, und Firewalls sowie Intru sion- Prevention-Systeme sind auf die Entdeckung solcher Zugriffe nur selten eingestellt. Mit anderen Worten, das Tor steht sperrangelweit offen. Maßnahme Schulungen von Verantwortungsträgern und Umsetzern für mehr Bewusstsein und Knowhow in Web Application Security Etablieren von Strukturen Erarbeiten von Sicherheitsanforderungen Erarbeiten von Vorgaben für Ausschreibungen und Verträge Etablieren von Umsetzungskontrollen Erstellen einer Roadmap für Web Application Security Schaffung von Secure Coding Guidelines Auswahl und Anpassung geeigneter Libraries und Frameworks Etablieren von Umsetzungskontrollen Einsatz von Tools zur automatisierten Code - analyse auf Sicherheitsmängel Durchführung von Sicherheitsanalysen und Penetrationstests Definition von Metriken und Indikatoren Auswertungen und Rückgabe in die Fach - abteilungen Sicherheitsüberlegungen müssen bereits bei der Planung einer Software anfangen: Hier sollte das Security-Team Risiken und Missbrauchsszenarien systematisch ermitteln. Die etablierten Verfahren der Schutzbedarfs- und Risiko - analyse sowie die sogenannte Abuse-Case-Modellierung (Modellierung von Abläufen möglicher Angriffe) beziehungsweise das sogenannte Threat-Modelling stehen dafür zur Verfügung. Ziel ist es, Sicherheit schon im Entwurf zu verankern. Während der Entwicklung tragen moderne Sourcecode- Analysetools zum Erkennen von unsicherer Programmierung und echten Schwachstellen bei. Auch der selektive manuelle Code-Review von kritischen Codeteilen und Schlüsselkonzepten ist ein wirksames Mittel, drohende Gefahren an der Wurzel zu beseitigen. Der Penetra - tionstest schließlich stellt das klassische Mittel dar, sich Sicherheitsproblemen aus der Perspektive des Angreifers zu nähern. Ist die Anwendung schließlich in Betrieb, sollte der Umgang der Benutzer und auch potenzieller Angreifer mit der Anwendung überwacht und regelmäßig an die Entwickler zurückgespielt werden. Um im Unternehmen die gewünschte Webanwendungs- Security zu erreichen, müssen Sicherheitsteams nicht unbedingt alle Maßnahmen mit gleicher Anstrengung vorantreiben. Im Folgenden sind einige häufig anzutreffende Mängel sowie daraus abgeleitete Maßnahmen aufgeführt, die sich in der Praxis bewährt haben. Dazu gehören neben den im Systementwicklungs-Lebenszyklus ansetzenden Vorkehrungen auch solche, die Organisation und IT-Prozesse betreffen. Maßnahmen gegen die häufigsten Mängel Awareness für eigene Web Application Security schaffen:ˇwebapplikationssicherheit wird häufig immer noch nicht als eigenständige Disziplin betrachtet. Ein Indikator dafür ist das Fehlen von Awareness- Programmen sowie spezielle Schulungen für die Entscheidungsträger und Gestalter der IT-Infrastrukturen. Eigene Ansprechpartner für Web Application Security stellen:ˇidealerweise sollte es auf Web Application Security spezialisierte Ansprechpartner als zentrale Anlaufstelle geben, die an der Gestaltung und Umsetzung von Prozessen maßgeblich beteiligt sind. Sicherheit von vornherein mitentwickeln:ˇhäufig versuchen die Sicherheitsverantwortlichen, das Security-Niveau der Anwendungen mit den etablierten Mitteln der Netzwerksicherheit anzuheben. Sicherheits - lösungen für die besonderen Anforderungen von Webanwendungen setzen, wenn überhaupt, häufig sehr spät im Entwicklungszyklus einer Applikation an. Somit bleiben meist auch die Übergangsbereiche in den Sicherheitskonzepten unberücksichtigt, zwischen denen ein wichtiger Know-how-Transfer auch zum Thema Sicherheit oder Unsicherheit von Anwendungen stattfinden sollte. Hier gilt es, von Anfang an ein durchgängiges Konzept zu definieren. Secure Coding Guidelines schaffen Klarheit:ˇVor allem wenn Unternehmen die Entwicklung von Anwendungen an externe Unternehmen vergeben, sollten sie die Auftragsarbeit durch entsprechende Secure Coding Guidelines und mit einer entsprechenden Vertragsgestaltung verbindlich für den Auftragnehmer regeln. Auch muss die Einhaltung der Guide- II ix extra 7/2011

3 Sicherheit und Firmen-WLAN bis nach Hause Alcatel-Lucent Remote AccessPoint Lösung bildet eine einfache Verlängerung des Unternehmensnetzwerkes in kleine Außenstellen und Home Offices. In den dezentralen Büros können die Remote AccessPoints vom Nutzer an beliebigen Internet-Anschlüssen in Betrieb genommen werden. Die Remote AccessPoints bauen eine IPSec gesicherte Verbindung zum zentralen Alcatel-Lucent WLAN-Controller auf. Danach steht sowohl das Firmen-WLAN als auch das Firmen- LAN am Remote AccessPoint zur Verfügung. Auch ein IP-Phone kann als Nebenstelle an der Firmen-Telekommunikationsanlage betrieben werden. Alcatel-Lucent WLAN Remote AccessPoint RAP-5WN Home Office WLAN- Endgeräte Zentrale LAN Alcatel-Lucent WLAN Remote AccessPoint IP-System-Endgerät WLAN-AccessPoint xdsl-modem Breitband IP-System-Endgerät Firewall Alcatel-Lucent WLAN-Switch WLAN-Desktop PC Kommunikationssystem Gesamte Infrastruktur ist von Alcatel-Lucent erhältlich. Ihr Ansprechpartner: KOMSA Systems GmbH Tel

4 lines regelmäßig überprüft werden. Risikoanalyse in der Planungsphase beeinflusst die weiteren Entscheidungen:ˇDie Erfahrung zeigt, dass in der Planungsphase eine dedizierte Risikoanalyse, die sich an konkreten, nachvollziehbaren Kriterien orientiert, maßgeblich zum Erfolg beiträgt. Eine Risikoanalyse beeinflusst sowohl die Auswahl von Werkzeugen als auch wichtige Richtungsentscheidungen hin zu mehr Sicherheit. Wichtig ist an dieser Stelle ebenfalls, die Wechselwirkung zwischen Sicherheitsanforderungen für Webanwendungen und den dahinterliegenden Geschäftsprozessen in die Planung mit einzubeziehen. Security Libraries verwenden:ˇ Mittlerweile existieren für die verbreiteten Webprogrammiersprachen Funktionsbibliotheken, die erprobte Sicherheitskonzepte zum Einbinden zur Verfügung stellen. Auch hier sei wieder auf die OWASP verwiesen, die mit der Enterprise Security API (ESAPI) die umfassendste Sammlung anbietet. Ein unverzichtbarer weiterer Bestandteil einer auf Sicherheit ausgelegten Programmierumgebung sind die schon genannten Secure Coding Guidelines. Nicht nur Penetrationstests: Häufig sehen Entwickler in der Testphase den Penetrationstest als das einzige Mittel der Wahl an. Doch der hat meist keine dauerhafte Wirkung auf die Sicherheit, denn die Ergebnisse des Tests legen nicht die Wurzel des Problems offen, sondern nur die Symptome. Deshalb empfiehlt sich hier eher eine Sourcecode- Analyse. Diese trägt kontinuierlich und messbar zur Ergebnisverbesserung bei. Zudem zeigt eine Sourcecode-Analyse Mängel und die Ansätze zur Behebung nachvollziehbar auf, und das sowohl in der Entwicklungsphase als auch in den Freigabeprozessen der Testphase. Eine Web Application Firewall bringt zusätzliche Sicherheit: Ist die Anwendung erst in der Produktion, stehen die Verantwortlichen in der Regel unter Zeitdruck und müssen schnell Fortschritte vorweisen. Dies sind die Hauptgründe, die eine nachhaltige Korrektur nicht mehr durchsetzbar machen. Umso wichtiger ist es, dass hier gewonnene Erkenntnisse kontinuierlich an die Entwicklung sowie an die Fachabteilung zurückfließen. Die Firewall ist ein geeignetes ergänzendes Mittel, um eine zweite Sicherungslinie um die Anwendungen herum aufzubauen. Sicherheit will ständig verbessert sein:ˇunternehmen müssen Sicherheit von Software ähnlich wie deren Qualität als stetigen Verbesserungsprozess begreifen und bei den beteiligten Stellen verankern. Die Entwicklung von geeigneten, auf die Unternehmensorganisation abgestimmten Metriken, die in ein entsprechend etabliertes Reporting einfließen, sind in Verbindung mit einem wirksamen Anreizsystem hierbei die Kernelemente. Bei der Umsetzung helfen speziell auf die Belange der Software - sicherheit abgestimmte Vorgehens- und Reifegradmodelle. Je früher umgesetzt, desto besser ist die Sicherheit:ˇDas A und O für mehr Sicherheit bei Webapplikationen ist ein frühes Umsetzen von Aktivitäten. Frühzeitig erkannte Sicherheitsmängel lassen sich deutlich schneller und billiger bereinigen. Ist eine Sicherheitslücken aufweisende Anwendung erst im Betrieb, besteht zudem gleich ein Risiko für das gesamte System. Auf Basis der etablierten Prozesse, der verbindlichen Vorgaben und der Vertragsrichtlinien kann das Unternehmen auch Entscheidungen zur Gewährleistung der Anwendungssicherheit treffen. Schließlich sollten die Aktivitäten rund um die Sicherheit von Webanwendungen durch hierfür gut ausgebildete Mitarbeiter gesteuert werden. (sf/ur) Thomas Schreiber ist Geschäftsführer des Beratungsunternehmens Securenet. IV ix extra 7/2011

5 Auf Mängelsuche Scanner für Webanwendungen Ohne die Unterstützung durch Web Application Scanner sind komplexe Webanwendungen kaum noch umfassend, genau und wirtschaftlich zu testen. Ihre Hauptaufgabe besteht darin, Konfigurationsund Implementierungsfehler im Zusammenspiel der Applikationskomponenten aufzuspüren. Unter einer Webapplikation versteht man im Allgemeinen Software, die auf einem Webserver ausgeführt wird und auf über HTTP übertragene Benutzereingaben dynamisch reagiert. Diese Anwendungen und Portale wie soziale Netze, Online-Banking und -Trading, Shopping und Foren gewähren unter Umständen Zugriff auf sensible Informationen. Beinahe täglich erscheinen Berichte über kri - tische Sicherheitslücken und neue Angriffstechniken auf die in den letzten Jahren immer komplexer gewordenen Applikationen. Klar ist auch, dass solche Angriffe nur noch selten auf die Infrastruktur oder das zugrunde liegende Server-Betriebssystem abzielen (Abb.ˇ1), sondern überwiegend auf die Anwendung direkt. Zu den bekanntesten Techniken gehören Cross-Site Scripting, SQL Injection, Session Riding oder Cookie Poisoning. Das Portal xssed.org etwa sammelt bekannt gewordene XSS- Schwachstellen und listet aktuell über 39ˇ000, zu denen auch kritische Lücken in großen Webapplikationen gehören. Für die IT-Security sind neben den erwähnten dynamischen, auf Benutzereingaben ausgerichteten Komponenten zudem statische Elemente interessant wie ein Webserver, der lediglich Bilddateien zum Download anbietet. Denn auch dabei können verschiedene Sicherheitsprobleme auftauchen. Bei der schwierigen Aufgabe, Webapplikationen auf Sicherheitslücken zu untersuchen und diese abzusichern, können sogenannte Web Application Scanner (auch allgemein Vulnerability Scanner) helfen. Diese Tools lassen sich bei einem Audit oder Penetrationstest verwenden, denn im Vergleich zu einem Vorgehen per Hand können sie vorhandene und potenzielle Probleme mit höherer Wahrscheinlichkeit finden und Ergebnisse schneller und damit günstiger ermitteln. Einsatz in allen Lebensphasen IT-Fachleute verwenden Web - applikations-scanner, um die Anwendungen im Web auf alle Probleme zu untersuchen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten und Diensten beeinträchtigen könnten. Die Scanner kommen unmittelbar in den Lebenszyklus-Phasen Deployment, Betrieb/Wartung und Außerdienststellung zum Einsatz, aber auch, um Fehler zu finden, die bereits in vorgelagerten Phasen angelegt wurden (Abb.ˇ2). Dies könnte beispielsweise eine SQL-Injection- oder XSS- Schwachstelle sein, die durch Der Aufbau der Weban - wendung zeigt, dass der Zugriff auf die nachge - lagerten Systeme über den erfolgreichen Angriff auf die Anwendung führt. Mit den genannten Auditierungs - werkzeugen kann man auf verschiedenen Ebenen nach Schwachstellen suchen (Abb.ˇ1). Geben Sie Hackern keine Chance! Wenn es um den Schutz von Webapplikationen geht, ist Airlock Ihre beste Verteidigung. Unsere Web Application Firewall schützt Ihre Daten vor unbefugtem Zugriff.

6 Programmierfehler in der Entwicklungsphase entstanden ist. Im Gegensatz zum Beispiel zu Quellcode-Analyzern arbeiten Web-Application-Scanner im Blackbox-Verfahren. Das heißt, das Tool untersucht die verfügbaren Input/Output-Schnitt stellen der Webapplikation unmittelbar aus der Perspektive eines normalen Benutzers. Ohne Kenntnis des Quellcodes und des genauen Datenbank-Layouts lässt sich aber nicht gewährleisten, dass das Tool alle Elemente und den gesamten Funktionsumfang vollständig erkennt und testet. Eine versteckte Backdoor etwa lässt sich leicht übersehen. Hingegen ist es von Vorteil, dass solche Werkzeuge auch ohne Kenntnis der zugrunde liegenden Programmiersprache und sonstiger Infrastrukturdetails schnell auf Sicherheitslücken testen können. Das grundsätzliche Vor - gehen eines Audits läuft in mehreren aufeinanderfolgenden Phasen ab (Abb.ˇ3). Zunächst müssen die IT-Verantwortlichen in einer Vor - KOMMERZIELLE WEB-APPLICATION-SCANNER Hersteller Scanner URL Acunetix AcuSensor art of defence hyperscan Cenzic Hailstorm Enterprise Application Risk Controller DBAPP Security MatriXay eeye Digital Security Retina GamaSec GamaScan Google Skipfish code.google.com/p/skipfish Hewlett Packard Webinspect IBM Rational Appscan Mavituna Security Netsparker MAYFLOWER Chorizo ncircle WebApp360 N-Stalker N-Stalker NT OBJECTives NTOSpider Outpost24 Web Application Scanning Qualys QualysGuard Rapid7 nexpose Syhunt Sandcat WhiteHat Security Sentinel PL Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. FREIE WEB-APPLICATION-SCANNER Projekt Werkzeug URL Casaba Watcher websecuritytool.codeplex.com CIRT Nikto GitHub arachnid arachni.segfault.gr GNUCITIZEN Websecurify Nessus Nessus Nmap Nmap Security Scanner nmap.org OWASP OWASP ZAP Paros Paros Proxy PortSwigger Burp Suite portswigger.net Rfp.labs libwhisker sourceforge.net/projects/whisker SensePost Wikto Sourceforge Wapiti wapiti.sourceforge.net/ Sourceforge W3AF w3af.sourceforge.net Sourceforge WATOBO watobo.sourceforge.net Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. bereitungsphase das Audit planen und seine Zielsetzung festlegen. Es gilt etwa zu klären, welche Teile einer Web - applikation untersucht werden sollen und ob dazu Live-Systeme oder Test-Systeme herangezogen werden. Des Weiteren muss das IT-Team planen, wie invasiv und intensiv es den Test durchführen will, ob das Ver halten unter Last getestet oder sogar Denial-of-Service- Schwachstellen gesucht und ausgenutzt werden sollen. Zudem muss die Frage geklärt sein, ob das IT-Team beispielsweise aufgespürte SQL- Injection-Schwachstellen auch dazu verwendet, eigene Inhalte in die Datenbank zu schreiben und wenn ja, welche. Anschließend wählt das Team die für die eigenen Anforderungen geeigneten Web-Application- Scanner aus und konfiguriert sie für das Audit. Je nach Programm kann das lediglich die Angabe der zu testenden URL sein oder eine umfangreiche Auswahl von Testmodulen und -parametern. Hinderliche Komplexität Die Hauptphase unterteilt sich in Discovery, Audit und Angriff. Hier liegt gleichzeitig eine der aktuellen Hauptschwierigkeiten bei der Durchführung Toolgestützter Web-Audits. Der Scanner muss zunächst die Webseite möglichst vollständig erfassen, also wie ein Crawler jeder Verknüpfung und Inter - aktion folgen. Das Web besteht aber heute nicht mehr nur aus Hyperlinks. Dynamische Elemente wie Ajax und Flash führen dazu, dass Webseiten eine unüberschaubare Anzahl von Zuständen einnehmen können. Besonders deutlich wird dies zum Beispiel bei webbasierter Tabellenkalkulation- oder Textverarbeitungssoftware. Out of the box kann ein Scanner solche Applikationen nur unvollständig erfassen. VI ix extra 7/2011

7 100% AV protection Antivirus, Firewall und Antispam JETZT WECHSELN! ESET Smart Security 4 Maximaler Schutz Minimale Systembelastung

8 Vertrauen Sie auf über Jahre Erfahrung SSL-Zertifikate bereits ab 15 E pro Jahr Ob bei Inbetriebnahme, Wartung oder Abschalten einer Anwendung ein Web - applikations-scanner kann in jeder Phase gute Dienste leisten und Schwachstellen aufdecken (Abb.ˇ2). Ein Audit gliedert sich in mehrere Teile, für die die Verantwortlichen Eingriffstiefe, Rahmenbedingungen sowie Werkzeuge festlegen (Abb.ˇ3). Die Discovery-Phase ist jedoch äußerst wichtig, um alle Input-/Output-Schnittstellen zu finden, die dann im Audit und via Angriff auf Schwachstellen untersucht werden. Diese Herausforderung gilt auch für die Geschäftslogik, also das automatisierte Erfassen, Verstehen und Durch - laufen ganzer Prozessketten, beispielsweise in einem Onlineshop. Hier kann der Experte sein Werkzeug unterstützen, indem er seinen Browser mit dem Proxy des Webapplikations-Scanners verbindet, die Webseite per Hand durchläuft und die Software damit anlernt. Zusammenarbeit Mensch/ Tool Diese Vorgehensweise hilft auch bei der Untersuchung von Kennwörtern geschützter Bereiche, denn im Browser kann der Fachmann die jeweils nötigen Zugangsdaten eingeben, verschiedene Rollen wie Benutzer oder Administrator erfassen und zur automatisierten Prüfung vorbereiten. Web-Application-Scanner können hier eine ihrer Stärken ausspielen: das massenhafte Ausprobieren von URL- Variationen zum Auffinden versteckter Webseiten oder Bereiche (etwa /backup/ sqldump_ tgz oder /geheim4711.html), außerdem das Variieren von Login-, Cookie- sowie Header-Daten für die Suche nach zugäng - lichen Bereichen der Web - seite. Dazu gehört auch das Analysieren aller Inhalte (Header, Kommentare im Code, typische Merkmale in Dateinamen, verwendete Skriptsprache et cetera) auf Versionsangaben und weitere Informationen, die auf spezifische Software schließen lassen. Im nächsten Schritt werden die gefundenen Schnittstellen durch den Scanner auf potenzielle Schwachstellen und Möglichkeiten der Ausnutzung untersucht. Spätestens hier können die Programme zeigen, was sie können. Zum einen sind sie in der Lage, aus ihrer Datenbank konkrete Exploits für bereits bekannte Schwachstellen auszuwählen und damit zu prüfen, ob beispielsweise der untersuchte Blog als Standardsoftware eine unsichere Version verwendet. Dokumentieren aller Schwachstellen Zum anderen, und das ist vielleicht die interessantere Fähigkeit, können sie mit generischen Mechanismen bisher unbekannte Schwachstellen finden. Dazu versieht der Scanner zum Beispiel jedes Eingabefeld eines HTML-Formulars und alle HTTP-Header mit Varianten von XSS-Test-Strings oder verschiedenen SQL-Fragmenten und untersucht die Resultate auf Anomalien. Eine XSS-Schwachstelle lässt sich leicht finden, wenn der XSS- Test-String unmittelbar nach Abschicken des Formulars im HTML-Code erscheint. Schwieriger wird es, wenn etwa eine geimpfte HTML- Nachricht generiert wird und ein Administrator-Account sie erst im Backend sieht. Durch geschicktes Fuzzing lassen sich weitere Probleme finden. Der Scanner generiert bei dieser Methode zufällige Daten oder variiert vorgegebene und testet mit diesen, ob serverseitig Probleme wie unkontrollierte Verarbeitungsabbrüche oder Anomalien in der Ausgabe auftauchen. Die Scanner können auch bei allen Tests mitwirken, die auf stochastische, also nicht deterministische Eigenschaften wie Race-Conditions oder den zufälligen Zugriff auf fremde Session- Daten prüfen. Hierzu führt das Werkzeug Abfragen in kurzer Abfolge oder parallel aus und wertet sie aus. Abschließend fassen die Experten die gefundenen Schwachstellen zusammen und erstellen eine Dokumentation mit Ergebnissen. Auch hier bestimmen die AnfordeiX extra 7/2011

9 rungen und Ergebnisse der Planung das ideale Vorgehen. Beim Test einer kleinen Web - applikation, bei der es sich möglicherweise sogar um ein Standardprodukt wie ein weitverbreitetes Blog-System handelt, will der Auditor etwa aus Effizienz- und damit Kostensicht oft bereits im Web applikations-scanner einen fertigen Bericht möglichst automatisch erstellen. Einige Tools betten in solche Berichte Lösungsvorschläge ein. In einem solchen Fall klassifiziert der Scanner auch selbstständig die gefundenen Probleme (unkritisch, während eines Audits der Live- Webserver zusammenbricht, wird der Auditor dringend seine korrekte Arbeitsweise belegen wollen. Zum anderen gehört die Erfassung relevanter Aktionen, Konfigurationen und Ergebnisse in einer Datenbank dazu. Künftige Tests können dann möglicherweise schneller durchgeführt werden. Durch eine Historie kann der Auditor aber auch besser den Überblick über eine Webapplikation behalten. Es gibt eine Vielzahl von geeigneten kommerziellen und Open-Source-Webapplikationsdann aber nicht immer über Stärken in anderen Bereichen, etwa dem Erstellen übersichtlicher Reports. Kein Werkzeug ist perfekt Ein vollautomatisch arbeitendes Expertensystem, das auf Knopfdruck selbstständig umfassende und korrekte Ergebnisse liefert, ist für komplexe Webapplikationen bisher kaum oder überhaupt nicht realisierbar und daher nicht am Markt. Das liegt sicherlich vor allem an der dargestellten Komplexität um die Eignung verschiedener Web-Application-Scanner für den geplanten Einsatzzweck zu bestimmen sowie zu prüfen, wie viele Fehler er findet, wie viele nicht (False Negative) und wie viele Fehlalarme entstehen (False Positive). Denn jeder übersehene Fehler kann kritische Folgen haben und jeder Fehlalarm zieht eine manuelle Überprüfung nach sich. Fazit Web-Application-Scanner sind für das Audit und die Penetrationstests unentbehrlich, sie secunet Data Loss Prevention. Damit Ihre vertraulichen Daten nicht morgen in der Zeitung stehen. VERTRAULICH Schutz statt Verlust: Vertrauliche Informationen gehören zu Ihrem wichtigsten Kapital. Ihre Daten sollten Ihr Unternehmen nicht unkontrolliert verlassen. Nutzen Sie zum effi zienten Rundumschutz die intelligente Technik von secunet DLP. Vertrauen Sie auf fundierte Planung und professionelle Umsetzung. Unsere bewährten Produkte und Tools sorgen dabei für eine schnelle und reibungslose Einführung. secunet DLP. Effi ziente Lösungen. Sichere Daten. IT-Sicherheitspartner der Bundesrepublik Deutschland schwerwiegend, kritisch). Bei umfangreichen oder mehr - stufigen Audits hingegen sollen möglicherweise die Ergebnisse des einen Scanners für den nächsten verwendet werden. Dafür ist eine Form der Ergebnisdokumentation erforderlich, die ein anderes Programm automatisch interpretieren kann. Zu den weiteren wichtigen Aspekten einer umfassenden Dokumentation zählt zum einen das Protokollieren aller ausgeführten Aktionen, denn wenn Scannern. Was es nicht gibt, ist das beste Programm. Vielmehr haben die einzelnen Anwendungen unterschiedliche Stärken und Schwächen und selbst die kostspieligsten Angebote sind nicht immer besser als Open-Source-Software oder preiswerte kommerzielle Alternativen. Von Vorteil ist häufig die parallele Verwendung mehrerer Systeme. Gerade Open- Source-Tools sind bisweilen für spezielle Aufgaben entwickelt worden und können in ihrem Bereich auftrumpfen, verfügen durch aktuelle Techniken wie Ajax oder Flash. Die Software kann daher immer nur einen Auditor unterstützen, aber kein Fachwissen und keine Praxiserfahrung ersetzen. Bei der Suche nach dem geeigneten Tool spielen auch die gewohnten Arbeitsschritte und Vorgehensweisen eines Auditors eine Rolle und wie ein spezielles Werkzeug dazu passt. Wichtig ist zudem die Verwendung existierender Test - applikationen oder die Schaffung eigener Testumgebungen, bleiben aber dennoch nur eine Unterstützung. Ohne den Menschen als Experten, der weiterhin wichtige Aufgaben übernimmt, lassen sich auf Knopfdruck nur selten angemessene Ergebnisse erhalten. Eine wirkungsvolle Kombina - tion entsteht, wenn der Experte mindestens eines oder sogar mehrere Werkzeuge verwendet. (sf/ur) Martin Wundram arbeitet bei der TronicGuard GmbH und ist spezialisiert auf Webanwendungssicherheit. ix extra 7/2011 IX

10 Webvorkoster Datenströme inspizieren Webapplikationen ermöglichen einer großen Anzahl Anwender den einfachen Zugang zu IT-Ressourcen. Zum Schutz der über sie zugänglichen Informationen haben sich Web Application Firewalls durchgesetzt. Onlineshops oder die Service-Portale von Finanzdienstleistern sind typische Web applikationen, mit denen fast jeder Anwender von Zeit zu Zeit in Berührung kommt. In Unternehmen existieren dar - über hinaus webgestützte Anwendungen, die der internen Organisation dienen, zum Beispiel Zeitbuchungssysteme, spezielle Teamkalender, Front - ends für Warenwirtschafts- und Customer-Relationship-Management-Software. Gemeinsam ist all diesen Systemen, dass sie auf der einen Seite einen möglichst einfachen Zugriff übers Internet oder Intranet gewähren sollen, auf der anderen Seite aber die Brücke zu Datenbanken mit wichtigen und zum Teil vertraulichen Informationen darstellen. Der Webshop etwa muss über eine Schnittstelle zur Kundendatenbank verfügen, und das interne Zeitbuchungssystem verwaltet zwangsläufig zumindest einen Teil der Personaldaten. Dieser Brückenfunktion wegen sind Webapplikationen durchaus lohnende Ziele für Angreifer mit verschiedenen Interessen. Darunter können Spione sein, die Betriebsgeheimnisse ausforschen möchten, aber auch Diebe von Identitätsinformationen oder Saboteure. Damit sind also alle drei Standard-Schutzziele der Informa - tionssicherheit betroffen: Vertraulichkeit, Verfügbarkeit und Integrität. Dass die erwünschte Sicherheit nicht leicht herzustellen ist, liegt dabei nicht allein an der primären Ausrichtung der Web - applikationen auf eine einfache Kommunikation der Anwender mit internen Ressourcen. Vielmehr kommt erschwerend dazu, dass diese Anwendungen oft Eigenentwicklungen sind, die nicht in größerem Umfang auf Sicherheitslücken getestet und entsprechend optimiert werden. Darüber hinaus ver - fügen die Hintergrund-Datenbanken als Systeme für den internen Betrieb nicht immer über ausgefeilte Schutz - mechanismen. Web Application Firewalls (WAF) stellen ein bewährtes Mittel dar, auch in dieser Situation die Informationssicherheit auf ein akzeptables Niveau zu heben. Sie verlagern den Schutz auf eine Ebene vor der eigentlichen Webanwendung, um deren Konzeption und Betrieb von den hohen Sicherheitsanforderungen zu entlasten. WAF-Systeme inspizieren die Datenströme von und zur Webapplikation und reagieren, wenn sie darin Sicherheitsrisiken erkennen etwa Eingaben, die auf Manipulationsversuche schließen lassen, oder unbeabsichtigt ausgehende Informationen. Web Application Firewalls existieren als Servermodule, klassische Softwaresysteme, Hardware-Appliances und in jüngerer Zeit auch als virtuelle Appliances. Auf den ersten Blick mag es inkonsequent erscheinen und nach Bastelei aussehen, den Schutz in eine zweite Instanz zu verlagern, statt die Webapplikationen selbst optimal zu härten. Organisatorisch und personell aber hat dies durchaus Vorteile: Die Anwendungsentwickler können sich bei diesem Konstrukt weiter auf die Funktionsfähigkeit konzentrieren und die Sicherheitsverantwortlichen auf den Bereich Security. Außerdem lässt sich ein spezialisiertes und standardisiertes Sicherheitssystem vergleichsweise leicht und schnell und mit der Unterstützung des Anbieters auf neue Bedrohungen wie aktuelle Hacker-Tricks einstellen, während eine derartige Modifikation bei einer komplexen Webapplikation erheblich aufwendigere Eingriffe erfordern würde. Filter oder Stellvertreter WAF-Systeme haben mit üblichen Firewalls wenig zu tun. Eine klassische Firewall regelt, über welche Ports von ihr geschützte Systeme erreicht werden können, und überwacht die IP-Adressen der Kommunikation. Typische Angriffe auf Webapplikationen finden aber grundsätzlich über legitime http- und https-verbindungen statt, also über bereits explizit freigegebene Kommunikationswege. Web Application Firewalls müssen deshalb auf der Anwendungsebene (OSI-Schichtˇ7) die Datenströme auf ihren Inhalt hin kontrollieren und haben somit eher eine Filterfunktion. Um diesen Zweck zu erfüllen, können sie sich auf unterschied - liche Art in die Verbindung

11 Connect With Confidence zwischen Browser und Web - appli kation einklinken: als WAF im Bridge-Modus oder als Reverse Proxy. WAFs im Bridge-Modus sind wie ein Switch in die Datenleitung eingebunden und lesen die Kommunikation mit. Der Anwender greift in diesem Fall weiterhin direkt auf die Web applikation zu. Findet eine Bridge-WAF verdächtige Kommunikation, kann sie zumindest Alarm schlagen und Kommunikationsströme blockieren. Ein Reverse Proxy dagegen bricht die Verbindung zur Anwendung auf. Bei diesem häufiger gewählten Konzept kommuniziert der Anwender, ohne dies zu merken, zunächst nur mit dem WAF-System seine http- oder https-verbindung endet dort. Von der Webapplikation nimmt das WAF-System die Webseiten mit den zu transferierenden Informationen entgegen und präsentiert sie dem Anwender. Zugleich analysiert es den eingehenden Datenstrom und damit die Eingaben des Anwenders und reicht nur geprüfte und für risikofrei befundene Ein - gabedaten und Uploads an die Applikation weiter. Schwarze und weiße Listen Ein zentraler Schutzmechanismus, auf den nahezu alle WAF- Systeme bauen, ist die gleichzeitige Arbeit mit White- und Blacklists. Eine weiße Liste dokumentiert, welche Eingaben bei der Arbeit mit einer Web applikation erlaubt sind in welche Felder etwa Zahlen welcher Größe und welchen Formats eingegeben werden, wo nur Text erlaubt ist, welche URLs aufgerufen werden können und so weiter. Dies verhindert, dass ein böswilliger Anwender Systeme durch unerwartete Eingaben in einen instabilen Betriebsmodus bringt oder beispielsweise Programmcode einschleust. Über Whitelists lässt sich also jede Eingabe unterbinden, die nicht explizit zugelassen ist. Dazu allerdings ist eine durchaus aufwendige Abstimmung der WAF auf die zu schützende Applikation notwendig. Moderne Systeme können dazu in einem Lernmodus arbeiten. Darin speichern sie über einen gewissen Zeitraum legitime Kommunika - tionsströme und leiten daraus selbst ab, was Anwender beispielsweise in bestimmte Felder eingeben dürfen und was nicht. Wichtig ist dies vor allem, wenn WAF-Systeme auch für häufiger modifizierte Webanwendungen eingesetzt werden sollen. Neueste Systeme gehen hier noch einen Schritt weiter: Sie sind in der Lage, Regeln für die legitime Kommunikation mit Webanwendungen dynamisch zu pflegen und Werte- oder Zeichenmengen, die für Ein - gaben zugelassen sind, flexibel mittels regulärer Ausdrücke zu beschreiben. Kommen reguläre Ausdrucke zum Einsatz, müssen nicht erst alle zugelassenen Zeichenketten oder Zahlenwerte vom Administrator eingegeben oder von der WAF erlernt werden. Ein wichtiges Qualitätskriterium, dass für alle WAF-Systeme mit Whitelists gilt, ist eine möglichst geringe Zahl von False Positives also fälschlich zurückgewiesener Anwenderkommunikationen während und nach der Konfigurations- oder Lernphase. Blacklists unterbinden lediglich Eingaben, die als Teil von Angriffsmustern bereits bekannt sind, etwa als Teil einer SQL-Injection oder des Cross-Site Scripting. Die schwarzen Listen können wie die Pattern-Dateien von Virenschutz-Systemen und die Angriffsmuster-Dateien von Intrusion-Detection-Systemen von den Herstellern der Systeme gepflegt werden. SSL-Inspektion und Authentifizierung ASTA TARO SEC ECUR URIT ITY GATE TEWA WAY ALL-IN -ONE PRO ROTE TECT CTIO ION Alle relevanten Sicherheitsfunktionen unter einer einheitlichen Management- FLEXIBEL EINFACH EFFIZIENT Minimaler Ressourcen - 30 Tage kostenlos testen WAF-Systeme im Reverse- Proxy-Modus lassen sich so einsetzen, dass sie für SSL-VeriX extra 7/2011

12 bindungen vom Browser des Anwenders zur Webanwendung den Endpunkt darstellen. Die Web Application Firewall entschlüsselt dann den Datenstrom, der vom Browser des Anwenders kommt, und verschlüsselt, was die Webapplikation zum Anwender hin liefert. Damit dies funktioniert, installiert der Verantwortliche auf einer entsprechend ein - gerichteten WAF das Server- Zertifikat für die geschützte Applikation. Sinnvoll ist dieses Konzept, weil das Sicherheitssystem auf diese Weise vollen Einblick in die verschlüsselte Kommunikation erhält. Ob auch die Verbindung zwischen dem WAF-System und der Webapplikation verschlüsselt werden muss, hängt davon ab, wo die Systeme installiert sind in einem gut geschützten internen Netzsegment kann diese Verbindung offen bleiben. Gängig ist es außerdem, WAF-Systeme zur Authentifizierung der Anwender einer Webapplikation KOMMERZIELLE UND FREIE WAFS Anbieter Produkt URL Applicure dotdefender Web Application Firewall Armorlogic profense WAF art of defence hyperguard Astaro Web Application Firewall Barracuda Networks Barracuda Web Application Firewall Breach Security WebDefend Cisco ACE Web Application Firewall Citrix NetScaler Web Application Firewall Deny All rweb Ergon Airlock F5 BIG-IP Application Security Manager Fortinet Fortiweb Imperva SecureSphere Web Application Firewall Radware AppWall secunet Web Application Firewall SONICWALL Web Application Firewall United Security USP Secure Entry Server Providers Zeus Web Application Firewall IronBee Web Application Firewall (Open Source) ModSecurity ModSecurity (Open Source) WebCastellum Web Application Firewall (Open Source) Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. heranzuziehen. Je nach Produkt sind dabei alle bekannten Methoden der Benutzererkennung möglich. Eine weitere Sicherheitsstrategie, die moderne WAF- Systeme bieten, ist die Verschleierung von Informationen über die interne Struktur einer Webapplikation. Die URLs beispielsweise, die im Code der HTML-Seiten einer Applikation enthalten sind, kann eine Web Application Firewall gegen verschlüsselte Varianten austauschen, bevor sie die Seiten Die Aufregung um Cloud Computing hat deutlich den Hype- Gipfel überschritten und nähert sich allmählich der Nullgrenze. Unbestritten ist, dass mit fein abgestimmter Ressourcenzuteilung und präzisen Abrechnungsmethoden viele Speicher - anforderungen bedarfsgerecht von außen erfüllt werden könnten. Doch was für File Services möglich erscheint, sieht bei etwa im Reverse-Proxy-Modus an den Anwender weiterreicht. Lässt sich dieser den Quellcode einer solchen Seite anzeigen, findet er in den eingebetteten Links anstelle lesbarer Dateinamen und -typen nichtssagende Zeichenketten. Er erhält somit keine Informationen über Ordnerstrukturen, IP- Adressen und Dateien, die die Webanwendung verwendet. Akzeptiert außerdem eine WAF als Eingabe grundsätzlich nur die von ihr selbst verschlüsselten Links, hat ein Angreifer auch keine Möglichkeit, über manipulierten Webcode direkt Dateien oder Ressourcen aufzurufen, deren Existenz er auf dem Server der Webapplikation vermutet ( Forceful Browsing ). Ähnlichen Zwecken dient es, wenn eine WAF Fehlermeldungen von Webservern oder Applikationen abfängt, statt sie den Anwendern weiterzureichen. Solche Meldungen enthalten technische Interna, die ein Hacker missbrauchen könnte. Auch Cookies, die eine Webanwendung auf dem System des Anwenders setzt, lassen sich durch Verschlüsselung gegen Manipulationen sichern. (sf/ur) Bettina Weßelmann ist freie Journalistin. In ix extra 8/2011 Storage: SaaS Public und Private Cloud Storage DIE WEITEREN IX EXTRAS: Block-Storage schon wieder ganz anders aus. Ein Situations - bericht. Erscheinungstermin: Ausgabe Thema Erscheinungstermin 09/11 Networking Hochverfügbares Server-Hosting 18.ˇ08.ˇ11 10/11 Embedded Systems Industrietaugliche I/O-Komponenten 15.ˇ09.ˇ11 11/11 Security Malware-Trends die Professionalisierung des Bösen 13.ˇ10.ˇ11 XII ix extra 7/2011