Websicherheit: eine kleine Parade der Bedrohungen – und was wir dagegen tun können

Mit dem Aufkommen des Internets und seiner stark ausgeweiteten Zugänglichkeit und Vernetzung wurde die Cybersicherheit mit neuen Herausforderungen konfrontiert. Früher wurde Sicherheit als etwas angesehen, das man mit einem Mehrschichtenvorgehen angeht. Doch inzwischen sind diese Schichten schon so unscharf und erweitert, dass sie sozusagen gar nicht mehr existieren.

Präsentation herunterladen


Web-Sicherheit bewegt sich nach aussen, vom Browser über Webserver und auf Web-API-basierte Anwendungen – und wieder zurück. Entstanden ist ein Universum sich frei bewegender Daten, die eine Vielzahl von Kontrollen brauchen, um diese Daten, die Systeme und auch die Menschen zu schützen.

Websites und Browser können wie offene Türen für Cyberkriminelle sein, die Softwareschwachstellen ausnutzen, um schädlichen Code einzuschleusen oder um Websites stillzulegen. Wir werden in diesem Beitrag einige der gängigen Bedrohungen für unsere Web-Gesundheit behandeln, sowie auf die jeweiligen Konsequenzen und Abhilfen eingehen.

Softwareschwachstellen

Für den Aufbau von Websites und den erweiterten Web-Services, die es für die Verbindungen übers gesamte Internet hinweg braucht, ist Software nötig, deren zugrunde liegender Code potenziell Angriffen aufgrund von Schwachstellen ausgesetzt ist. Zusätzlich hat die Verbreitung von Content Management Systemen wie WordPress und Joomla zusammen mit ihren durch Module, Plugins und Themes erweiterten Anwendungsumgebung neue Eintrittspunkte geschaffen, die sich auf die Websicherheit auswirken.

Einer der am meisten verbreiteten Angriffstypen ist das Cross-Site-Scripting, auch XSS-Angriff genannt. Der XSS-Angriff ist eine Form des Injection-Angriffs. Diese erlaubt dem Hacker, ein Stück JavaScript in eine zulässige Webanwendung zu „injizieren“. Die Anwendung wird so dazu gebracht, unzulässigen Inhalt zu liefern, wenn ein User auf sie zugreift. CMS Community Code – beispielsweise Plugins – ist ein berüchtigter Vektor für XSS. Eine aktive XSS-Attacke kann auf einer Website ein Benutzerkonto kompromittieren, indem es die Web-Session und die Cookies des Nutzers hijacked, d.h. kapert. Jetpack, eines der beliebtesten Plugins von WordPress, hatte eine XSS-Schwachstelle, die Millionen Nutzer tangierte.

Softwareschwachstellen finden sich in so ziemlich jedem Softwarecode. Doch bestimmte Vorgehensweisen können die Auswirkungen minimieren. Eine gute Secure-Coding-Praxis kann viele potentielle Gefahrenherde eliminieren. Einen hervorragenden Leitfaden zu diesem Thema bietet das Open Web Application Security Program (OWASP). Ein weiteres Mittel zur Minimierung des XSS-Risikos ist der Einsatz einer Web Application Firewall (WAF). Zudem ist es fundamental für ein sicheres Web, dass freigegebene neue Software-Patches   umgehend eingespielt werden.

Database-Injection-Attacke

Daten treiben das Internet an und stellen das grösste Risiko dar, da Cyberkriminelle immer stärker auf Personally Identifiable Information (PII), also auf personenbezogene Daten aus sind. Die Zahlen veranschaulichen dies: 2014 erlebten die USA einen historischen Rekord an vertraulichen Datenverlusten, was eine Steigerung von 27.5% gegenüber 2013 bedeutete.

Cyberkriminelle betrachten alle Aspekte der Websicherheit, um sich Zugang zu verschaffen. Ein Weg führt über die Datenbanken, die Daten und Anmeldeinformationen für Nutzerkonten speichern. Datenbanken stellen eine für das Internet tragende Technologie dar. In ihnen wird alles in der einen oder anderen Form gespeichert.

Das Risiko eines Injection-Angriffs besteht, unabhängig davon, ob SQL (z.B. MS SQL) oder NoSQL (z.B. MongoDB) eingesetzt wird. Injection-Angriffe geschehen, wenn Daten eingegeben aber nicht gefiltert werden. Entsprechend kann ein Cyberkrimineller schlecht gefilterte Formularfelder einer Website nutzen, um Schadcode beim Datenbankzugriff auszuführen. In der Folge wird der Inhalt der Datenbank dem schon bereitstehenden Hacker überlassen. Abhilfe schaffen hier eine spezielle Secure-Coding-Praxis und der Einsatz einer WAF.

Database Exploitation

Die Speicherung von Daten innerhalb des Webkontexts stellt auch einen Bereich dar, der zulasten von Nutzerdaten falsch konfiguriert werden kann. PCI Compliance wurde beispielsweise entwickelt, um Gefährdungen bei der Speicherung von finanziellen Detailinformationen entgegenzutreten. Trotzdem reichte dies im Falle von JPMorgan Chase nicht: 2014 wurden 83 Millionen Kundenkonten ungeschützt offengelegt. Eine Rolle spielte dabei auch die ungenügend implementierte Server-Authentisierung (siehe auch Web Access Controls und der Faktor Mensch). Inzwischen empfiehlt auch der PCI Security Standards Council den Einsatz einer WAF, um Webanwendungen besser gegen solche Attacken zu schützen. Datenbanksicherheit ist ein eigenes Thema. Doch zur Diskussion gehört auch eine starke Zwei-Faktor- bzw. Multifaktor-Authentisierung sowie ein vertieftes Verständnis darüber, wie Datenbankverschlüsselung richtig angewendet wird.

Ungenügend implementiertes SSL

Die meisten Websites, die sensible Daten (wie Login Credentials oder persönliche Daten) behandeln müssen, werden so konfiguriert, dass das Sicherheitsstandardprotokoll Secure Sockets Layer (SSL) bzw. ­– als neuere Bezeichnung – Transport Layer Security (TLS) eingesetzt werden kann. Damit wird eine HTTPS-basierende, sichere Internetverbindung hergestellt. Das Problem ist, dass das Protokoll während der Implementation falsch konfiguriert und in der Folge leicht gehacked werden kann. Ein Beispiel dafür wäre die Bereitstellung der Login-Seite ohne SSL. Es gibt einige Wi-Fi-Hacking-Ausrüstungen, die günstig zu erwerben sind. Ausrüstungen wie das Wi-Fi Pineapple – an sich ein zulässiges PEN-Testing-Werkzeug – können dazu genutzt werden, schlecht konfigurierte SSL Services zu hacken, um an Nutzeranmeldedaten zu gelangen und um Zugang zu Nutzerkonten zu erhalten.

Cross-Site-Request-Forgery

Cross-Site-Request-Forgery oder CSRF ( mit Website-übergreifende Anfragenfälschung) ist eine ebenfalls verbreitet Angriffsart. Nehmen wir zum Beispiel an, ein Nutzer ist auf eine von Cyberkriminellen präparierte Website mit dem CSRF-Exploit geraten und öffnet anschliessend eine legitime Seite, z.B. eine E-Commerce-Website, wo er über ein Nutzerkonto verfügt. Da die E-Commerce-Site während der gleichen Brower-Session offen ist, kann die gefälschte Site mit einem FORM POST den CSRF-Angriff über den Browser des Nutzers lancieren, und zwar in das Backend der Webapplikation, mit der der Nutzer verbunden ist. Danach kann der Hacker beliebig agieren, zum Beispiel Geld auf sein eigenes Bankkonto transferieren lassen.

Zum Glück gibt es Möglichkeiten, diese Art von Angriff zu vermeiden – im Backend oder mit einem Drittanbieter-Tool, z.B. einer WAF. Dazu gehört der Einsatz von Captchas oder Hidden Tokens. Ein weiterer, wichtiger Aspekt ist die Risikosensibilisierung der Nutzer.

Web Access Controls und der Faktor Mensch

Zugriffskontrolle für Nutzerkonten auf einer Webapplikation ist ein sich zunehmend entwickelndes Feld. Passwortmüdigkeit macht sich gleichzeitig mit rasant zunehmender Cyberkriminalität und Identitätsdiebstahl bemerkbar.

Wenn man einige der grössten Vorfälle der letzten beiden Jahre analysiert, fällt auf, dass gestohlene Credentials (Anmeldeinformationen) am Anfang eines Cyper-Angriffs stehen. Tatsächlich können – laut mehrerer Studien und auch gemäss des Verizon Data Breach Investigations Reports – bis zu 80% der Vorfälle gestohlenen Credentials zugeordnet werden. Zudem spielen gestohlene Credentials auch eine grosse Rolle bei Datenverlusten, inklusive Finanzinformationen. Oft werden beim Credentials-Diebstahl Web-basierte Angriffsvektoren eingesetzt. Aufgrund der Offenheit und Zugänglichkeit des Internets haben die auf den Menschen bezogenen Kontaktpunkte enorm zugenommen. Es scheint fast als wäre jede und jeder eine „Insider-Bedrohung“. Das Social Engineering ist ein Phänomen, das in den vergangenen Jahren mit der Verbreitung von Phishing sowie Spear-Phishing und den damit verbundenen gefälschten Websites aufgekommen ist. Social-Engineering-Hacks gehören wohl zu den Angriffen, denen beizukommen äusserst schwierig ist, da das menschliche Verhalten mit hineinspielt. Insbesondere das Spear-Phishing erweist sich als besonders erfolgreich. Das Sicherheitsunternehmen FireEye hält in einem Spear Phishing Attacks Report (2014) fest, dass Spear-Phishing-Mails eine Öffnungsrate von 70% aufwiesen und dass sich 50% der User auf eine gefälschte Website durchklickten. Der Einsatz von Zwei-Faktor-Authentisierung ist ein probates Mittel, um die Risiken rund um gestohlene Credentials zu entschärfen.

Malvertising

Malvertising ist eine noch ziemlich neue Erscheinung im Bereich der Cyber-Bedrohungen. Dabei setzen Cyberkriminelle Online-Werbungen ein, um via Browser die Geräte von jenen zu infizieren, welche die Website besuchen. Malvertising stellt eine zunehmende Bedrohung dar. Google musste letztes Jahr 350 Millionen „schlechte Werbungen“ vom DoubleClick Netzwerk entfernen. Bei vielen handelte es sich um Ransomware, eine der dunkelsten Varianten von Malware, mit der von infizierten Usern bis zu $1000 erpresst wurde.

DoS-Angriffe

Denial of Service (DoS) oder Distributed Denial of Service (DDoS) Angriffe bedeuten, dass ein Angreifer Websites mit Anfragen überflutet und dadurch erreicht, dass dieser Dienst nicht mehr erhältlich ist. Letztere Methode, DDoS, greift auf eine „Botnet“ genannte Methode zurück. Das ist eine Malware, die vorgängig heimlich auf vielen Geräten von nichtsahnenden Nutzern installiert wurde. Ein „Botnet Herder“ („Botnet-Hirte“) aktiviert dann die Malware, um eine spezifische Website zu überfluten und sie lahmzulegen. Diese Methode wurde unter anderem auch von Hacktivisten und auch von der chinesischen Regierung gegen die US-Regierung eingesetzt. Sie wird auch als Ablenkungsmanöver verwendet, damit Cyberkriminelle Malware in eine Organisation einschleusen können, während diese damit beschäftig ist, die DDos-Attacke zu beheben.

Websicherheit: Freiheiten wollen verteidigt werden…

Das Internet hat uns unglaubliche Kommunikationsfreiheiten und Zugang zu vielen Diensten eröffnet. Mit grossen Innovationen sind auch Herausforderungen verbunden. Websicherheit ist eine davon. Die verteilte Natur des Internets bedeutet auch, dass wir innovativer sein müssen, um diese verteilten Ressourcen zu schützen. Die korrekte Implementierung von Webapplikationen und ihrer erweiterten Hosting-Infrastruktur hilft, gespeicherte sowie in Übertragung befindliche Daten zu schützen. Ferner hilft der richtige Einsatz von Werkzeugen wie Web Application Firewalls (WAF), den Herausforderungen durch moderne Web-Hacking-Techniken zu begegnen – jenen Methoden, die versuchen, das Wesen des Internets, das von Offenheit und Vernetzbarkeit geprägt ist, für ihre Zwecke auszunutzen. Um eine robuste Sicherheitsstrategie zu entwickeln, braucht es Wissen und Einsicht in die wirklich entscheidenden Aspekte der Websicherheit und in die Art und Weise, wie Cyberkriminelle Schwachstellen ausnutzen. Dank dem korrekten Einsatz von Implementierungsstandards und der richtigen Werkzeuge können wir sicherstellen, dass unsere Websites und Services sicher sind und dass Datenschutz und Privatsphäre aufrecht erhalten blieben.



Präsentation herunterladen

Details zum Autor

Mathias Wyss

Mathias Wyss

Product Manager Web Access Management & Security Expert @ United Security Providers, MSc ETH, CISSP

Kommentar hinterlassen?