Sicherheit bei Webservices mangelhaft
Gehostete Anwendungen sind leichte Ziele
Die Anbieter von Unternehmenssoftware für den normalen PC schaffen es, dass ihre Programme gut abgesichert sind. Aber ihre gehosteten Web-Anwendungen sind weiterhin ein Grund zur Sorge.
Keine Panik bei “normalen” Clients!
Sicherheit bei Webservices mangelhaft
Das Jahr 2006 ging mit einer weiteren Panik wegen der Schadensanfälligkeit von Windows an den Start. Diesmal war es eine Schwachstelle beim Image-Handling, die die Nutzer zum Opfer eines Angriffs machte, wenn sie auf ein bösartig manipuliertes Windows Metafile (WMF) stoßen sollten.
Der WMF-Bug hat beträchtlichen Schaden angerichtet – aber weniger, als von einigen erwartet wurde. Das könnte darauf hindeuten, dass die Industrie schrittweise lernt, die Sicherheit ihrer Client-Anwendungen in den Griff zu bekommen. Betriebssysteme, sogar Windows, werden sicherer. Automatische Software-Updates, die mit begrenzten Nutzerrechten laufen, sicherere Webbrowser und bessere Firewalls sorgen allmählich für eine Veränderung.
Im Gegensatz dazu sind Probleme mit gehosteten Web-Anwendungen schwerer zu beseitigen. Ein Punkt sind die Tausende von unsicheren PHP-Skripte und andere Web-Scripts, die installiert werden und danach niemals ein Update erhalten – selbst wenn die Programmierer mit Lösungen aufwarten. Die Folge sind angreifbare Webserver.
Kommerzielle Web-Apps mit zu wenig Sicherheit
Sicherheit bei Webservices mangelhaft
Kommerzielle Anwendungen stellen ein noch größeres Risiko dar. Hier sind die Entwickler in der Pflicht, sicheren Code zu schreiben. Das ist nicht leicht, insbesondere in einer Industrie, die immer unter dem Druck steht, schnelle Entwicklung und immer mehr Features zu bieten. Sicherheitsexperten bei Netcraft, einem Unternehmen, das Webanwendungen überprüft, stoßen typischerweise auf solche Probleme wie schwaches Session Management, SQL-Injection Risiken, Buffer Owerflows und verletzlichen Debug-Code, der versehentlich in Produktionsanwendungen belassen wurde.
Das größte Problem ist vielleicht das Cross-Site Scripting. In einer Veröffentlichung auf der JavaOne-Konferenz vorigen Jahres behauptete der Sicherheitsarchitekt von Cisco, Martin Nystrom, das 95 % der Webanwendungen fehlerbehaftet sind, wobei 80 % für Angriffe mittels Cross-Site Scripting anfällig sind.
Bei dieser Art von Schwachstellen werden aktive Skripts von außen in die Web-Anwendung eingeschleust und senden dann womöglich vertrauliche Nutzereingabe an einen Hacker. Oder ein bösartiges Skript läuft mit Administratorrechten und stellt extrem glaubhafte Phishing Seiten durch eine URL-Umleitung dar. Der aktuelle Trend zu “Rich Internet Applications” (kurz RIA, bei den britischen Kollegen auch Rich Browser Apps genannt), bei denen in großem Maße JavaScript und XML-Webdienste verwendet werden, erhöht sicherlich die Menge der möglichen Schwachstellen – und die Gefahr durch Cross-Site Skripting.
SQL Injection, die auf Nystroms Liste auf dem zweiten Platz angesiedelt ist, liegt bei 62 % und ist ein weiterer Hauptgrund zur Besorgnis. Wenn die Angreifer in der Lage sind, beliebige SQL-Befehle auszuführen oder sogar Updates von Datenbanken per Skript zu erstellen, ist mit ernsten Folgen zu rechnen.
Entwicklungskultur ändern!
Sicherheit bei Webservices mangelhaft
Die Lehre für Unternehmen, die Web-Services am Laufen haben, ist: Räumen Sie Sicherheit eine höhere Priorität ein als bisher.
Es gibt Tools, die automatische Überprüfungen vornehmen – aber sie neigen dazu, eine große Menge von “False Positives”, also Fehlmeldungen, zu produzieren. Außerdem bieten sie keine Sicherheit, dass jede Schwachstelle entdeckt wird.
Wesentlich wichtiger ist, schon beim Aufbau solcher Dienste eine Entwicklungskultur zu schaffen, bei der Sicherheit genauso hoch geschätzt wird wie die Features und die unterbrechungsfreie Zuverlässigkeit.