Sicherheit von Webanwendungen. mit IBM Rational AppScan

Transkript

1 Sicherheit von Webanwendungen mit IBM Rational AppScan

2 Ziel dieses Vortrags Rund zwei Drittel aller Hackerangriffe richten sich gegen Webanwendungen mit dem Ziel, persönliche und unternehmenskritische Daten auszuspähen In diesem Vortrag erfahren Sie: Welche Sicherheitslücken gibt es bei Webanwendungen? Wie gefährlich sind sie? Wie wirken sich Angriffe aus? Die Fiducia unternimmt viel im Bereich Sicherheit auch im Bereich der Webanwendungen Weshalb ist das Thema für die Fiducia so wichtig? Wie sind die Erfahrungen der Fiducia mit Webapplication-Scannern und automatisierten Source Code Audits (SCA)? Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 2

3 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 3

4 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 4

5 Der Mythos: Wir sind sicher Wir haben Firewalls Wir lassen jedes Jahr ein Audit durchführen Wir haben SSL Verschlüsselung Wir haben Netzwerk- Scanner Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 5

6 X-Force Report Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 6

7 X-Force Report Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 7

8 Ausgabenverteilung für Sicherheit in Unternehmen Security Ausgaben % der Attacken % der Ausgaben Web Applications 10% 75% 90% 25% Network Server aller Attacken auf Informationssicherheit 75% finden im Web Application Layer statt 2/3 aller Webanwendungen sind gefährdet Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 8

9 Einordnung von Webanwendungssicherheit (IDS=Intrusion Detection System, IPS=Intrusion Prevention System) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 9

10 Warum ist Anwendungssicherheit wichtig? Seit dem 1. September 2009 gilt ein neues Bundesdatenschutzgesetz! "... Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, 42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies kann schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen..." Web-Applikationen sind für Hacker höchst interessant Zugriff auf persönliche Daten, Kundendaten, Unternehmensdaten, Kreditkarten usw. Compliance-Anforderungen werden verletzt Basel II, Datenschutzgesetze, SOX, Payment Card Industry (PCI) Standards, GLBA, HIPAA, FISMA Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 10

11 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 11

12 Hacker-Attacken Vortäuschen einer anderen Identität (Impersonation) Aneignung von Berechtigungen (Elevation of Privilege) Manipulation von Daten während der Übertragung (Tampering) Einlesen von Informationen (Information Disclosure) Löschen des Nachweises einer getätigten Transaktion (Repudation) Verursachen einer Serverüberlastung (Denial-of-Service) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 12

13 und die Security Lücken 1. Cross-Site Scripting (XSS) 2. Injection Flaws 3. Verstecktes Ausführen einer Datei 4. Unsichere Direct Object Reference 5. Verfälschung eines Cross-Site Requests 6. Informationsverlust und unsaubere Fehlerbehandlung 7. Broken Authentication & Session Management 8. Unsichere Kryptografie Speicherung 9. Unsichere Kommunikation 10. Fehlerhafte Abwehr von URL Zugriffen Schwachstellen Statistik ( Seiten) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 13

14 Brute Force -Tools sind einfach zu finden Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 14

15 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 15

16 Was ist IBM Rational AppScan Standard Edition? Ein automatisiertes Testtool zum Aufdecken von Sicherheitslücken in Webanwendungen (dynamische Analyse/Blackbox Test) Zweistufiges Vorgehen: 1. Auslesen der URL-Struktur und Scan der Seiten, um potentielle Angriffspunkte zu finden und zu listen 2. Test der gefundenen Angriffspunkte Über vordefinierte Sicherheits- und Compliancetests werden automatisiert durchgeführt Ein Expertenteam beobachtet laufend bekannte und neue Angriffsarten. Entwickelt neue und aktualisiert bestehende Tests und stellt diese per Update bereit Ausführliche, konfigurierbare Reports zu den durchgeführten Tests Zu den gefundenen Schwachstellen werden Maßnahmen zur Abhilfe vorgeschlagen HTTP Request Webanwendung Application HTTP Response Web Servers Databases Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 16

17 Rational AppScan Standard Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 17

18 Rational AppScan Enterprise Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 18

19 Was ist statische Code-Analyse? Statische Code-Analyse ist der Prozess zum Aufbau eines theoretischen Models wie eine Anwendung arbeitet, aufbauend auf dessen Code und Binaries, sowie die Suche nach Schwachstellen von diesem Model Ebenfalls als White-Box-Testing bekannt, da im Gegensatz zum zum Black-Box- Testing/dynamischer Analyse alle Interna der Anwendung verfügbar sind Im Gegensatz zur dynamischen Analyse wird aber nichts ausgeführt, Tests basieren auf theoretischen Modellen Es gibt verschiedene Analysemodelle, die wichtigste ist die Taint Flow-Analyse. Ziel der Taint Flow-Analyse ist das Identifizieren der Benutzung nicht vertrauenswürdiger Daten in den Anwendungen Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 19

20 Rational AppScan Source Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 20

21 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 21

22 Webanwendungen der Fiducia Sehr viele kritische Webanwendungen im Internet erreichbar Bankenhomepages für hunderte von Volksbanken und Raiffeisenbanken Internet-Banking für Hunderte von Volksbanken und Raiffeisenbanken Websites zum Dateitransfer, für Gehaltsabrechnungen, Attraktive Ziele für Angreifer Es geht um viel Geld: Die Betrüger wollen ein Stück vom Kuchen Geld lässt sich sowohl direkt (z. B. über Phishing, manipulierte Transaktionen, ) als auch indirekt (Verkauf/Missbrauch von Kundendaten) verdienen Medien und Kunden reagieren sensibel Jede Meldung zu einer Sicherheitslücke in einer Bankanwendung führt zum Imageschaden, das Vertrauen der Banken und deren Kunden sinkt Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 22

23 Webanwendungen der Fiducia Die Sicherheit von Web-Anwendungen, z. B. ebanking, ist nach außen hin direkt sichtbar und jederzeit durch Dritte, auch Endkunden, überprüfbar. Schwachstellen sind direkt ausnutzbar Eine Sicherheitslücke in einer Web-Anwendung kann sich direkt auf das Sicherheits- Image aller Web-Anwendungen auswirken Einige Medien, federführend der Heise-Verlag mit seinem News-Ticker ( haben diese Problematik aufgegriffen und publizieren Schwachstellen sehr schnell Wir hatten in der Vergangenheit bereits mehrfach öffentlich bekannte Schwachstellen in Anwendungen in Verantwortung der Fiducia, die zum Teil erst nach einigen Tagen geschlossen werden konnten Schwachstellen wurden meist zeitnah geschlossen Dennoch: schlechte Presse Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 23

24 Banken stehen im Fokus: Suche nach Fiducia bei heise Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 24

25 Pressemitteilung von heise wird durch die Medien aufgegriffen Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 25

26 Pressemitteilung von heise führt zu Bericht in heute -Sendung XSS-Schwachstelle heute -Sendung vom Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 26

27 Was unternimmt die Fiducia im Bereich Webanwendungssicherheit? Awareness und Know-how Regelmäßige Awareness-Programme Aus- und Weiterbildung von Mitarbeitern, auch speziell zu Sicherheitsthemen Beratung Sicherheitsabnahmen Intern durchgeführte Sicherheitsabnahmen Technische Audits durch externe Dienstleister (z. B. TÜV-Zertifizierung ebanking PE) Source Code Audits (Beispiele) ebanking Private Edition (PoC) agreesb Operator Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 27

28 Source Code Audit: Bisherige Erfahrungen Vollständig automatisierte Scans machbar? Die getesteten Lösungen zur statischen Source Code Analyse sind nur eingeschränkt geeignet, um diese automatisiert in den Entwicklungsprozess zu integrieren Nutzen der Source Code Audits (SCA)? Die Source Code-Analyse ist geeignet und empfehlenswert, um selbst entwickelte Anwendungen auf Schwachstellen hin zu untersuchen Die SCA trägt dazu bei, die Qualität des Quelltexts/der Anwendung zu steigern: Steigerung der Stabilität und damit Verfügbarkeit einer Anwendung Positive Wirkung auf Wartbarkeit Verbesserung der Sicherheit Tool-Nutzen? Deutliche Unterstützung eines menschlichen Auditors bei der Source Code Analyse Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 28

29 Web-Application-Scanner: Bisherige Erfahrungen Vollständig automatisierte Scans machbar? Auch die guten Scanner liefern Falschmeldungen ( false positives ) Gute Unterstützung bei Test auf Standard-Schwächen (z. B. der OWASP-TOP-10) Umfangreiche Prüfung auf bekannte Schwachstellen: z. B. XSS, SQL-Injection (bekannte) Konfigurationsfehler bei Web- und Application-Servern Keine Erkennung von Design-Fehlern oder logischen Fehlern Denkfehler im Programmfluss Interpretation und Bereinigung von false positives durch menschlichen Auditor notwendig Gut geeignet zum regelmäßigen Prüfen von neuen Anwendungen/Releases Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 29

30 Weiterführende Informationen BSI: Sicherheit von Webanwendungen Maßnahmenkatalog WebSec_pdf.pdf? blob=publicationfile OWASP-Projekt Security-Portal der Fiducia IT AG Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 30

31 Fragen? Diskussion? Tobias Kutzer IBM Software Group Tobias Kastner SEC 0721 / Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 31

32 Ihr IT-Partner Vielen Dank