Einführung in Security

Transkript

1

2

3 Einführung in Security THEMA: OWASP TOP10 einfach erklärt

4 Einführung: Heartbleed Shellshock Poodle

5 Einführung: Heartbleed Sicherheitslücke in der OpenSSL-Implementierung der Heartbeat-Erweiterung für die Verschlüsselungsprotokolle TLS und DTLS Shellshock Über verwundbare BASH Versionen lässt sich Code in Umgebungsvariablen einfügen, der beim Start einer neuen Shell ungeprüft ausgeführt wird. Poodle Man in the Middle Angriff unter Ausnutzung von Schwachstellen in veraltetem SSL 3.0 -> Padding im CBC Mode Aktuell TLS 1.1 / 1.2

6 Einführung:

7 Einführung: Einige Zahlen $ Geschätzte globale, jährliche Schäden durch Cyber Security (McAfee Juli 2013) $ Geschätzte direkte Kosten für Sony durch den unberechtigten Datenzugriff auf Playstation (Presse) 375,000,000 Geklaute Datensätze im ersten Halbjahr 2014 $ 150 pro Datensatz (SafeNet auf Basis des Breach Level Index BLI) $ Durchschnittliche Kosten unberechtigten Datenzugriff für deutsche Unternehmen (Ponemon Studie)

8 OWASP: Zum Glück gibt es OWASP! OWASP ist eine non-profit Organisation mit Fokus auf Erhöhung der Sicherheit von Software 2001 weltweit organisiert, unterteilt in lokale Chapter 198 Zahlreiche bedeutende Projekte 168 Zed Attack Proxy Enterprise Security API Application Security Verification Standard Secure Coding diverse Cheat Sheets TOP 10 (2013) 2003, 2004, 2007, 2010, 2013 (ZAP) (ESAPI) (ASVS)

9 Offizielle OWASP TOP 10 Liste 2013 Es nicht um Schwachstellen, sondern um Risiken Die Liste stellt keinen offiziellen Standard dar Es geht um die Sensibilisierung

10 Vergleich 2010 / 2013 Top Top A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2010-A4 Insecure Direct Object References 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2010-A10 Unvalidated Redirects and Forwards 2013-A9 Using Known Vulnerable Components (NEU) 2013-A10 Unvalidated Redirects and Forwards 3 wichtige Änderungen 2010-A7&A9 -> 2013-A A8 erweitert in 2013-A7 NEU 2013-A9

11 Wie entsteht die TOP10? Risikobewertung Threat Agent Attack Vector Weakness Prevalence Weakness Detectability Technical Impact Business Impact? Easy Widespread Easy Severe Average Common Average Moderate Difficult Uncommon Difficult Minor? CVSS - Common Vulnerability Scoring System 11

12 A1-Injection: Wenn Benutzereingaben ungefiltert weiterverarbeitet werden, kann dies zu Injection Problemen führen. Dabei gibt verschiedene Formen: SQL, Mail, Script, HTML, Header,

13 A1-Injection: SQL Injection https User Web Server Application Server User Database

14 A1-Injection: SQL Injection BEISPIEL: $sql = "SELECT * FROM user ". "WHERE username LIKE '".addslashes($username)."' ". "AND password=".addslashes($password); Die Eingabe $username= %bf%27 OR x = x ; (URL Encoded) Führt durch addslashes($username) zu => %bf%5c%27 OR x = x %bf%5c ist ein valider multi-byte Character in simplified Chinese > WHERE username LIKE or x = x

15 A1-Injection - Empfehlung Eingaben von außen so weit wie möglich vermeiden. Interface verwenden, welches die eingegebenen Variablen fest an den damit verbunden Zweck bindet. (z.b. prepared statements, stored procedures, ) Jeglicher Input von außen muss ordentlich kodiert bzw. bereinigt werden. Möglichst White Listen verwenden, um Benutzereingaben zu validieren. Datenbank / Dateisystem Privilegien soweit wie möglich einschränken.

16 A2-Broken Authentication and Session Management HTTP ist ein stateless Protokoll jeder Request und jede Response sind im Grunde unabhängig voneinander. Um einen Zusammenhang von verschiedenen Requests herzustellen, muss ein Session Management implementiert werden. In diesem Zusammenhang gibt es eine Vielzahl an Sicherheitsproblemen. Session Fixation Elevation of Privileges Brute Force Attacken Sniffing

17 Accounts Finance Administratio n Transactions Communicati Knowledge on Mgmt E-Commerce Bus. Functions TOP 10: A2-Broken Authentication and Session Management 1 Benutzer sendet seine Zugangsdaten Custom Code 2 Webseite verwendet URL Rewrite (z.b. sessionid in URL) 3 Benutzer klickt auf einen Link zu 5 Angreifer verwendet die SessionID und übernimmt den Zugang 4 Angreifer überprüft die Referrer Logs auf und findet die sessionid

18 A2-Broken Authentication and Session Management - Empfehlung session.use_trans_sid = 0 session.use_only_cookies = 1 session.cookie_httponly = 1 session.cookie_secure = 1 session_regenerate_id(); session.gc_maxlifetime=3600 (Unterstützung von transparenter SID deaktivieren) (es werden nur Cookies clientseitig akzeptiert) (Cookie nicht für andere Scriptsprachen zugänglich) (Cookie wird nur per https übertragen) (nach Einloggen / Ausloggen neue SessionID) (Gültigkeit einer Session beschränken) Registrierung/persönlicher Bereich sollten nur per HTTPS aufrufbar sein. Anfragende IP Adresse in Session speichern und bei jedem Zugriff überprüfen. Fehlerhafte Loginversuche sollten zu anwachsenden zeitlichen Verzögerung führen Double Opt-In bei Registrierung / PW zurücksetzen etc. Verschickte Links sollten nur einmal aufrufbar sein / ein Verfallsdatum beinhalten. CSRF Schutz bei allen wichtigen Formularen (PW Reset/Account löschen/ ) > siehe Punkt A8

19 A3-Cross-Site Scripting (XSS) Cross-Site Scripting tritt dann auf, wenn eine Webanwendung Daten von einem Nutzer annimmt und diese an den Browser weitersendet, ohne den Inhalt korrekt zu überprüfen (Injection). Damit ist es einem Angreifer möglich Schadcode auf der Seite des Clients auszuführen. Der Angriff bei XSS ist über verschiedene Wege möglich z.b. $_GET / $_POST / $_COOKIE / $_SESSION / SessionID / Header POST Parameter <input name= username value= <?echo $_POST[ username ];?> > User-Agent-Header User-Agent: Mozilla/5.0 (Wind</td></table><body/onload=alert(0)>ows NT 6.1; WOW64; rv:21.0)

20 A3-Cross-Site Scripting (XSS): nicht persistenter Angriff 1. Der Nutzer kommt in Kontakt mit einem präparierten Link. 2. Die Webanwendung wird über den präparierten Aufruf aufgerufen. 3. Der XSS-Code wird über eine XSS-Lücke, in die Seite eingefügt. 4. Die infizierte Seite wird an den Nutzer gesendet. 5. Der XSS-Code ist im Kontext der Seite beim Nutzer angekommen und umgeht so die "Same-Origin Policy"des Webbrowsers. 6. XSS-Code sendet gestohlene Daten an den Server des Angreifers.

21 A3-Cross-Site Scripting (XSS): persistenter Angriff 1. Die Webanwendung wird mit dem XSS-Code aufgerufen. 2. Der Schadcode wird dort gespeichert (Datenbank / Session / ). 3. Ein Nutzer ruft die Webanwendung auf. 4. Der gespeicherte Schadcode wird in die Webseite eingebaut. 5. Die infizierte Webseite wird dem Nutzer geschickt. 6. Der XSS-Code ist im Kontext der Seite beim Nutzer angekommen und umgeht so die "Same-Origin Policy" des Webbrowsers. 7. Der XSS-Code sendet gestohlene Daten an den Server des Angreifers.

22 A3-Cross-Site Scripting (XSS): Mutation-XSS / mxss element.innerhtml () Javascript Funktion häufig verwendet in Zusammenhang mit WYSIWYG Browser kümmert sich intern um die DOM Umsetzung der Eingabe Problem: ƒ(ƒ(x)) ƒ(x) trifft nicht zu! IN: <div>123 IN: <Div/class=abc>123 IN: <span><div>123</span> OUT: <div>123</div> OUT: <div class="abc">123</div> OUT: <span><div>123</div></span> IN: OUT: <p style="font-family:'\22\3bx:expression(alert(1))/*'"> <P style="font-family: ; x: expression(alert(1))"></p>

23 A3-Cross-Site Scripting (XSS) - Empfehlung Variablen bereinigen HTML Element Content (e.g., <div> some text to display </div> ) HTML Attribute Values (e.g., <input name='person' type='text' value='defaultvalue'> ) JavaScript Data (e.g., <script> somefunction( DATA ) </script> ) CSS Property Values (e.g.,.pdiv a:hover {color: red; text-decoration: underline} ) URI Attribute Values (e.g., <a href=" ) 1: ESAPI: encodeforhtml() 2: ESAPI: encodeforhtmlattribute() 3: ESAPI: encodeforjavascript() 4: ESAPI: encodeforcss() 5: ESAPI: encodeforurl() HTMLPurifier Einsatz von Content Security Policy (CSP)

24 A4-Insecure Direct Object References Die Referenz auf ein internes Objekt wird einem Angreifer preisgegeben. Bei fehlender oder falscher Überprüfung der Zugriffsberechtigung ermöglicht man die Manipulation dieses Objekts. candidate_id=6066 > Modifizierung des Wertes candidate_id=6067 Zugriff auf die Informationen eines anderen Benutzers

25 A4-Insecure Direct Object References - Empfehlung Direkte Objektreferenzen sollten komplett eliminiert werden. Mappings / Tokens Access Reference Map TOKENS Wenn sie eingesetzt werden, müssen sie ordentlich validiert werden! Zusätzliche Überprüfung, ob der Benutzer das Recht für den Zugriff besitzt bzw. in welchem Modus (read, write, delete)? (vergleiche A7 > Probleme den Zugriff per URL zu beschränken)

26 Accounts Finance Admin Transactio ns Comm. Knowledge E- Commerce Bussiness TOP 10: A5-Security Misconfiguration Aufgrund von falschen Konfigurationseinstellungen ergeben sich Sicherheitslücken. Dies betrifft alle Komponenten vom Betriebssystem bis zur Applikation. Database Custom Code App Configuration Insider Framework App Server Web Server Hardened OS Development QA Servers Test Servers Production

27 A5-Security Misconfiguration - Empfehlung Etablieren eines ordentlichen System Konfigurationsmanagements / Patch Managements & Deploymentmechanismus - Automatisierung! Richtlinie für Sicherheitshärtungen muss die komplette Plattform und Applikation umfassen Möglichkeit die Konfiguration zu exportieren - ohne Reporting ist keine Überprüfung möglich Automatisierte Überwachung der Parameter mit ALARM Benachrichtigung Initial korrekt gesetzt! Session-Management ->.htaccess / php.ini Directory Listing deaktivieren (http/https) -> httpd.conf (Options Indexes) allow_url_fopen = off / allow_url_include = off -> php.ini open_basedir = /var/www/html -> php.ini DocumentRoot /var/www/html -> httpd.conf cache-verzeichnisse sollten außerhalb des document_roots abgelegt werden https verwenden! korrekte Cipher Suites im Apache einstellen (kein MD5/SHA1) Click-Jacking verhindern Header always append X-Frame-Options SAMEORIGIN Default Einstellungen in den BeeSite Konfigurationsdateien anpassen crypt Schlüssel / Passwörter / Verschlüsselungsmodus (kein ECB > CBC)..

28 A6-Sensitive Data Exposure Unsichere Speicherung und Transport von sensiblen Daten WICHTIGE FRAGEN: Welche Daten sind sensibel? Was sind meine Kronjuwelen? Wo werden diese Daten überall gespeichert? Wohin und auf welchem Weg werden diese Daten übertragen?

29 Accounts Finance Administrati on Transactions Communicat Knowledge ion Mgmt E-Commerce Bus. Functions TOP 10: A6-Sensitive Data Exposure Unsichere Speicherung 1 Benutzer gibt seine Kreditkarteninformationen ein Custom Code 4 Mitarbeiter entwendet Millionen Kreditkartennummern Log files 3 2 Die Logfiles sind für alle IT Mitarbeiter verfügbar, um eventuelle Fehler zu beheben. Die Fehlerbehandlung speichert die Daten in einem Logfile, da ein Gateway zeitweise nicht vorhanden ist

30 A6-Sensitive Data Exposure Unsicherer Transport Externes Opfer Custom Code Backend Systeme Business Partner Mitarbeiter 1 Angreifer entwendet Daten aus dem Netzwerk 2 Angreifer entwendet Daten aus dem internen Netzwerk Externer Angreifer Interner Angreifer

31 A6-Sensitive Data Exposure - Empfehlung Analyse der Architektur Identifikation der Daten / Speicherorte / Übertragungswege Schutz durch angemessene Mittel Datei & Datenbank Verschlüsselung Transportverschlüsselung TLS Korrekter Einsatz der gewählten Mechanismen Einsatz von Standard Algorithmen mit ordentlichem Key Management Keine veralteten SSL Algorithmen Überprüfung der Implementierung Welcher Algorithmus wird verwendet, wurden die Schlüssel ordentlich übertragen, gibt es einen Plan für Schlüsselaustausch,

32 A7-Missing Function Level Access Control Falsche Authorisierung beim Zugriff auf sensible Daten. Der Angreifer erkennt in der Adresse seine Rolle Er modifiziert diese zu einer anderen Rolle /user/getaccounts /admin/getaccounts Der Angreifer erhält Zugriff auf Daten, welche nicht für ihn bestimmt sind.

33 A7-Missing Function Level Access Control - Empfehlung Die Applikation muß drei Dinge tun: Jeglichen Zugriff auf authentisierte User beschränken Erzwingen von Benutzer- oder Rollenberechtigungen (wenn nicht offentlich) (wenn nicht öffentlich) Komplette Zugriffsverweigerung zu nicht authorisierten Daten (z.b. auch Konfigurationsdateien, Logfiles, Quellcode, etc.) Analyse der Architektur Einsatz eines einfachen zentralen Zugriffsmodells, welches von jeder Business Funktion verwendet wird. Überprüfung der Implementierung Durch manuelle Aufrufe oder den Einsatz externer Tools sollten solche Angriffe simuliert werden (z.b. OWASPs ZAP, Penetration Testing Tools, ).

34 A8-Cross-Site Request Forgery (CSRF / XSRF) Bei einem Cross-Site-Request-Forgery führt ein Angreifer eine Transaktion in einer Webanwendung im Namen eines Opfers (bereits angemeldet) durch. (Website-übergreifende Anfragenfälschung)

35 A8-Cross-Site Request Forgery (CSRF / XSRF) - Empfehlung Überprüfung des HTTP Referrers (manipulierbar ) Limitierung der Gültigkeit des Session Cookies Einsatz von CAPTCHAs Verwendung eines CSRF Tokens (Änderung bei jedem Request/pro Session) if(!helper_security::checkcsrftoken()) { $msg_error = $lang['csrferror']; } else { public function checkcsrftoken() { if(sha1(session_id()==$_post[ _csrf_token ]) { return true; } return false; }

36 A9-Using Components with Known Vulnerabilities Der vermehrte Einsatz externer Komponenten (z.b. Frameworks, JavaScript Libraries, etc.) führt zu weitverbreiteten Angriffsmöglichkeiten, da Schwachstellen häufig automatisiert abgefragt werden können. Was wird wo überhaupt eingesetzt? Fehlender Überblick Komplette Bandbreite an Schwachstellen Mehr als Downloads von unsicheren Versionen der 31 bekanntesten Open Source Sicherheits Libraries und Web Frameworks (2012).

37 A9-Using Components with Known Vulnerabilities - Empfehlung Übersicht der verwendeten Komponenten Eine Liste sollte auf jeden Fall vorliegen, damit eine Überprüfung überhaupt möglich ist. Automatisierte Builds / Dependency Management Ein automatisierter Build Prozess sorgt dafür, dass immer aktuelle Versionen der verwendeten Komponenten eingebunden werden. Bei Milch & Zucker wird dies durch den Einsatz des Dependency Managers Composer gewährleistet. Manuelle Überprüfung Wenn ein automatisierter Prozess nicht eingerichtet werden kann, sollte zumindest eine periodische manuelle Überprüfung statt finden. Datenbank mit aktuell bekannten Problemen

38 A10-Unvalidated Redirects and Forwards Unsichere Weiterleitungen auf externe Seiten bzw. zu sensiblen Funktionen Redirects Häufig werden Benutzereingaben bei der Generierung der Ziel-Adresse verwendet. Sollten diese nicht ordentlich validiert werden, kann ein Angreifer das Opfer auf eine beliebige Seite weiter leiten. Forwards Werden Eingaben des Anwenders dazu verwendet eine bestimmte interne Seite aufzurufen, kann es passieren, dass durch Manipulation der Parameter ein Umgehen der Authentisierung bzw. Autorisierung möglich ist.

39 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions TOP 10: A10-Unvalidated Redirects and Forwards - Redirect 1 Angreifer schickt den Angriff per oder Webseite From: Interne Sicherheitsüberprüfung Subject: Wichtige Information Bitte klicken sie hier. 3 Applikation leitet das Opfer auf die Seite des Angreifers 2 Opfer klickt auf den Link mit den präparierten, nicht validierten Parametern. Custom Code Evil Site 4 Seite des Angreifers installiert Malware oder entwendet private Informationen

40 A10-Unvalidated Redirects and Forwards - Forwards 1 Angreifer schickt seinen Angriff an eine gefährdete Seite, zu welcher er Zugriff hat. public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 2 Die Anwendung authorisiert die Anfrage und leitet auf die eigentlich geschützte Seite weiter Filter public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... 3 Die eigentlich geschützte Seite überprüft die Parameter nicht korrekt und liefert sensible Daten aus.

41 A10-Unvalidated Redirects and Forwards - Empfehlung Vermeidung des Einsatzes von Redirects und Forwards so weit wie möglich Wenn es sein muss, sollten dafür keine Usereingaben verwendet werden. Wenn sich dies gar nicht vermeiden lässt, müssen diese ordentlich validiert werden besser sind serverseitige Mappings. Zusätzlich kann die generierte Ziel URL abschließend überprüft werden. Bei Forwards sollte man außerdem die Zugriffsberechtigung überprüfen, bevor man auf diese weiterleitet.

42 Zusammenfassung OWASP TOP10 einfach erklärt Sicherheit nimmt einen immer größeren Stellenwert ein. OWASP versucht durch die Klassifizierung der aktuellen Risiken Anhaltspunkte zu geben, um Webanwendungen sicherer zu machen. Die Liste der TOP10 betrifft alle Bereiche der Softwareentwicklung. Design, Architektur, Entwicklung, Konfiguration, Deployment, Sichere Softwareentwicklung ist heute eine der wichtigsten Grundlagen für dauerhaften Erfolg in der Softwarebranche. HINWEIS: TOP10 für Entwickler Injection#tab=PHP

43 Einführung in Security OWASP TOP10 einfach erklärt Ihr Ansprechpartner bei: Kai Mengel - CISO Küchlerstrasse Bad Nauheim sicherheit@milchundzucker.de

44 Einführung in Security Content-Security-Policy (CSP) Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern (W3C). Der offizielle Name des Header-Felds ist Content-Security-Policy. Firefox ab Version 23 / Chrome ab Version 25 / AngularJS, Ruby on Rails

45 Einführung in Security Content-Security-Policy (CSP) 1: Der Server verlangt, dass die Inhalte nur von der gleichen Quelle kommen: Content-Security-Policy: default-src 'self 2: Eine Auktionswebseite möchte Bilder von jeder URI laden, Plugins von einer Liste vertrauenswürdiger Provider und Skripte nur von einem bekannten Server. Content-Security-Policy: default-src 'self'; img-src *; object-src media1.example.com media2.example.com; script-src trustedscripts.example.com 3: Eine Website möchte sämtliche Verbindungen auf HTTPS beschränken: Content-Security-Policy: default-src https: 'unsafe-inline' 'unsafe-eval' 4: Eine Website benötigt inline Skripte und möchte sicher stellen, dass diese auch wirklich vom eigenen Server stammen: Content-Security-Policy: script-src 'self' 'nonce-$random'; Die Inline-Skripte werden nur ausgeführt, wenn der Token übereinstimmt. <script nonce="$random">...</script>

46 Einführung in Security Same-Origin-Policy (SOP) SOP ist ein Sicherheitskonzept, das clientseitigen Skriptsprachen wie JavaScript und ActionScript, aber auch Cascading Style Sheets untersagt, auf Objekte (zum Beispiel Grafiken) zuzugreifen, die von einer anderen Webseite stammen. die SOP ist erfüllt die SOP ist nicht erfüllt > andere Domain die SOP ist nicht erfüllt > anderer Port die SOP ist nicht erfüllt > anderes Protokoll

47