Der «Kalte Krieg» der Webapps

Cyrill Osterwalder ist Chief Technology Officer bei Seclutions und Mitglied des Web Application Security Consortium.

Der Spion, der aus der Kälte kam», so der Titel eines Roman des britischen Autors John Le Carré. Und so kann man auch sehr treffend die Situation bei der Sicherheit von Webapplikation beschreiben. Vier von fünf Webapps können heute erfolgreich von professionellen Hackern attackiert werden - rund um die Uhr und von überall her. Die Applikationsserver bilden das Eingangstor für diese Angriffe, die je nach Professionalität der Hacker nicht einmal an die vermeintlichen Einschränkungen der Webapplikationen gebunden sind. Erfolgreiche Attacken werden in den meisten Fällen gar nicht erkannt, allenfalls werden dilettantische Fehlversuche bemerkt.

Der Angreifer ist klar im Vorteil. Ein Vergleich mit Hochsicherheitsgefängnissen hilft weiter: Trotz aller Kontrollen der Häftlinge gibt es keine absolute Sicherheit: Waffen, Drogen und Mobilfunkgeräte finden ihren Weg zu den Delinquenten und selbst Ausbrüche können gelingen. Während die Wächter rund um die Uhr aufmerksam sein müssen und die Sicherheit damit zur Routine wird, brauchen die Insassen nur auf den einen unbeobachteten Moment zu warten, um zuzuschlagen. Der Angreifer muss nur die eine Schwachstelle im System finden, während die Sicherheitsbeauftragten immer alle Eventualitäten abwägen müssen.

Und aus der Virologie wissen wir: Antibiotika und Impfungen schützen immer nur gegen bekannte Virenstämme. Verändern diese ihre Struktur, dann sind auch die Medikamente wirkungslos. Die Praxis der Webapplikationen zeigt deutlich, dass die Sicherheit immer nur «State-of-the-art» sein kann. Die kriminellen Innovationen in der Hackercommunity können nicht treffsicher vorhergesehen werden. Der Hacker verfügt also immer über einen natürlichen Informationsvorsprung. Die typischen Sicherheitsstandards der Webapplikationen schützen lediglich gegen bekannte Tricks.

Automatisierte Angriffe durch Viren, Trojaner und Würmer verursachen in Log-Files von Webservern, Firewalls und Intrusion Detection- und Prevention-Systemen unzählige Einträge. Diese vermittelt ein trügerisches Gefühl von Sicherheit, ähnlich wie die Standardalarmanlage bei einem Reihenhaus. Der Ernstfall sieht aber anders aus: Wie ein Ninja kommt der Hacker gut getarnt und auf leisen Sohlen. Seine manuellen Angriffe auf die Applikationsebene werden im Regelfall nicht erkannt. Sie unterscheiden sich aus Sicht der Applikation nicht von gültigen Requests und hinterlassen daher auch keinerlei spezielle Log-Einträge.

Viele Sicherheitsverantwortliche prahlen damit, dass «bei ihnen noch nie etwas passiert sei». Im Fall von versteckten applikatorischen Angriffen ist diese Aussage fragwürdig. Die Realität beweist: Im besten Fall bedeutet dies für das Unternehmen, dass man bisher Glück gehabt hat oder die Daten nicht attraktiv genug sind. Und im schlimmsten Fall suggeriert diese Aussage, dass der Sicherheitsverantwortliche zu wenig professionell ist und davon ausgeht, dass bei einem erfolgreichen Angriff auf jeden Fall merkliche Spuren aufgetaucht wären.

Erfahrungen der Praxis zeigen, dass sensitive Daten oft aus Webapps extrahiert werden können, ohne Spuren zu hinterlassen. Dabei reicht meistens sogar das konventionelle Waffenarsenal der Hacker, es braucht in den wenigsten Fällen wirklich ausgeklügelte Methoden. Mit Cross Site Scripting und Forceful Browsing lässt sich insbesondere bei den beliebten Phishing-Angriffen eine gefährliche Wirkung erzielen.

Kürzlich bekannt gewordene Missbräuche auf kommerziellen Web-Seiten wie etwa bei E-Bay oder Citizensbank bedienten sich unter anderem dieser Techniken, um die Login-Daten von Benutzern zu stehlen. Die letzten bekannt gewordenen Phishing-Angriffe gegen E-Bay-Benutzer wurden über E-Mails abgewickelt, die das ahnungslose Opfer auf einen falschen Server geleitet haben. Dort wurden seine Login-Daten abgefragt. In diesem Fall war die richtige E-Bay-Seite gar nicht involviert und konnte technisch nichts dagegen unternehmen.