Das virtuelle Kapital – heiß begehrt und schützenswert Angriffe auf Web-Anwendungen und Server-Datenbanken verhindern

Autor / Redakteur: Paul Thackeray, Barracuda Networks / Stephan Augsten

Web-Kriminelle versuchen scheinbar immer häufiger, sich Zugang zu Internetseiten zu verschaffen. Meist wollen sie den Bestand persönlicher Informationen in den Server-Datenbanken plündern oder schädliche Software installieren, die den Rechner ahnungsloser Besucher für ihre Botnets rekrutieren.

Firmen zum Thema

Web-Anwendungen sind aufgrund der dahinter leigenden Daten das beliebteste Ziel von Hacking- und Injection-Attacken.
Web-Anwendungen sind aufgrund der dahinter leigenden Daten das beliebteste Ziel von Hacking- und Injection-Attacken.
( Archiv: Vogel Business Media )

Eigentlich wollte ein Hamburger Online-Ticketanbieter im Oktober 2007 eine reine Routineprüfung auf einem seiner Web-Server durchführen – das Ergebnis muss umso schockierender gewirkt haben: Es stellte sich heraus, dass eine große Anzahl von Kreditkartennummern und Rechnungsadressen gestohlen worden war.

Etwa 66.000 Kunden, die in den vorangegangenen zwölf Monaten ihre Tickets über die Internetseite gekauft hatten, waren betroffen. Schnell wurde ein internes Team zusammengestellt, um die Sicherheitslücke aufzuspüren und sämtliche Kunden zu benachrichtigen. In enger Zusammenarbeit mit den Banken und Kreditkartenausstellern bemühte man sich, den Schaden auf ein Minimum zu begrenzen.

Dies ist bei Weitem kein Einzelfall. Im August desselben Jahres schafften es Cyber-Kriminelle, über eine Sicherheitslücke in der Server-Management-Software auf mehrere Kundenserver eines deutschen Hosting-Anbieters zuzugreifen. Beinahe 30 Server wurden Opfer von Denial-of-Service-Angriffen. Man vermutete außerdem, dass die Eindringlinge sich an Kunden-Webseiten zu schaffen gemacht hatten. Durch Browser-Schwachstellen versuchten sie Schadcode auf den Computer ahnungsloser Besucher zu schleusen. In diesem Fall waren bis zu 1.700 Kunden betroffen.

Natürlich ist dieses Phänomen nicht auf Deutschland beschränkt. Das Web Application Security Consortium verzeichnete weltweit 58 solcher Zwischenfälle im Jahr 2008 und bereits 20 in den ersten beiden Monaten 2009. Die Lehre aus diesen Ereignissen kam den attackierten Unternehmen teuer zu stehen; doch trotz der offenkundigen Tatsache, dass sich solche Vorfälle häufen, reagieren viele Firmen nur langsam.

Seite 2: Die Anatomie von Online-Attacken

Die Anatomie von Online-Attacken

Angriffe auf Internetseiten erfolgen in der Regel aus zweierlei Gründen: Einerseits wollen sich die Eindringlinge einen Zugang zu Datenbanken mit Kreditkartendaten oder anderen wertvollen, persönlichen Kundeninformationen verschaffen. Andererseits versuchen sie Schwachstellen im Website-Quellcode zu nutzen, um Schadcode einzuschleusen (Exploits).

Verbreitet sind beispielsweise SQL-Injektionen und Cross-Site-Scripting-Angriffe (XSS). Bei XSS-Attacken werden oft vertrauenswürdige Internetseiten dazu genutzt, bösartige Codes und Skripte an den Browser eines potentiellen Opfers zu senden. Die Angreifer nutzen die verseuchten Sites als Kanal, um persönliche Informationen zu stehlen oder Malware auf den Rechnern der Nutzer zu installieren. Diese dienen beispielsweise zum Diebstahl von Kennwörtern mithilfe von Trojanern. Üblich sind auch Phishing-Attacken und andere Angriffe, die über Zombie-Netzwerke (Botnets) durchgeführt werden.

Anfällig für Missbrauch

Aufgrund der Offenheit des Internet sind herkömmliche Lösungen zur Netzwerk-Absicherung ungeeignet. Konventionelle Firewalls müssen in der Regel konfiguriert werden, damit der HTTP- und HTTPS-Datenverkehr auf Netzwerkebene zugelassen wird. Konventionelle IPS-Systeme sind meist nicht in der Lage, Signaturen mit verschlüsselten HTTPS-Daten abzugleichen oder verschleierte Angriffe mit wechselnden Verschlüsselungsverfahren abzuwehren. Nur ein echter Reverse Proxy, der eingehende HTTP- und HTTPS-Sitzungen beendet, kann vollständigen Schutz bieten.

Websites mit einem unsicheren Content-Management-System oder einer gängigen Blog- bzw. Bulletin-Board-Fremdsoftware können Schwachstellen aufweisen. Dies ist vor allem dann der Fall, wenn diese Systeme ohne Sicherheitseinstellungen eingesetzt und die aktuellen Patches nicht regelmäßig installiert werden. Sicherheitslücken treten besonders häufig bei firmenintern entwickelten Anwendungen auf, wenn die zuständigen IT-Abteilungen nicht über die Testressourcen kommerzieller Anbieter verfügen.

Spärlich codierte Websites sind anfällig für immer raffiniertere Varianten konventioneller Phishing-Angriffe. Eine beliebte Methode ist das Aufspüren von Fehlern im Code einer legalen Website, um dort zusätzliche Seiten oder Weiterleitungen einzuschleusen. Der Domainname der aufgerufene URL existiert tatsächlich, nur der Pfad ist modifiziert und enthält zum Beispiel ein paar zusätzliche Zeichen. Diese Zeichen leiten die Nutzer auf eine andere Website, die den Betrügern gehört.

Seite 3: Strategien zur Verteidigung des Web-Auftritts

Strategien zur Verteidigung des Web-Auftritts

Um sich zu verteidigen, sollten Unternehmen nicht nur effiziente Sicherheitslösungen implementieren sondern darüber hinaus robuste, langfristigere Lösungen anstreben. Hierzu gehören unter anderem solide Codierungsverfahren, Schwachstellenanalysen, Fremd-Audits und Web Application Firewalls.

Es gibt eine ganze Reihe einfacher, doch bewährter Methoden, mit denen Unternehmen ihre Webauftritte schützen können:

  • Sicherheitslücken lassen sich mithilfe von Schwachstellen-Assessments und Audits aufdecken. Auch Hacker, die praktische Erfahrung mit Webanwendungen und SQL haben, können anhand von Fehlermeldungen herausfinden wie die zugrunde liegende Datenbank strukturiert ist. Darüber hinaus enthalten die Fehlermeldungen oftmals Hinweise auf wertvolle persönliche Daten, die in der Datenbank gespeichert sind. Um die Website effektiv abzuschirme und zu verhindern, dass Internetseiten auf diese Art ausgekundschaftet werden, müssen derartige Serverfehler beseitigt werden.
  • Eine wirkungsvolle Methode ist auch der Musterabgleich zur Erkennung von Injektionen wie gängigen SQL Injections, OS-Befehlsinjektionen und Cross-Site-Scripting-Angriffen.
  • Das Signieren oder Verschlüsseln von Cookies verhindert Sitzungsdiebstähle, die häufig bei „Man-in-the-Middle“-Angriffen vorkommen. Fällt der Abgleich zwischen dem Original-Cookie und seiner digitalen Signatur negativ aus, ist dies ein Indiz dafür, dass ein Diebstahl vorliegt und der Prozess blockiert werden kann.
  • Bei einer weiteren, häufig genutzten Angriffsmethode wird die Sitzung eines anderen Benutzers „entführt“, indem die Sitzungskennung geändert wird. Diese Methode ist als „Sitzungsdiebstahl“ bekannt und kann ebenfalls durch Verschlüsselung verhindert werden.
  • Brute-Force-Angriffe, bei denen die Hacker wiederholt versuchen sich über eine bestimmte IP-Adresse einzuloggen, können durch Überwachung der Zugriffe oder schwarze Listen (RBL) abgewendet werden.

Seite 4: Vorteile einer Web Application Firewall

Vorteile einer Web Application Firewall

In einigen Branchen sind solide Codierungsverfahren und umfangreiche Prüfungen des Quellcodes Pflicht. Ob dies in Ihrem Sektor der Fall ist oder nicht – grundsätzlich empfiehlt sich als zusätzliche Sicherheitsmaßnahme eine Web Application Firewall. Diese bietet Schutz vor vielen der unzähligen Spielarten eines Hackerangriffs.

Sicherheitslösungen wie die Barracuda Web Application Firewall bieten nicht nur einen Schutz für Webanwendungen. Ihre Traffic-Management-Funktionen sorgen in anspruchsvollen Datencenter-Umgebungen außerdem für eine Optimierung in puncto Performance, Skalierbarkeit und Verwaltung.

In den meisten Fällen ist eine Web Application Firewall Teil der Sicherheitsstrategie, mit der Datendiebstahl, Denial-of-Service-Attacken oder die Verunstaltung der Internetseite durch die Ausnutzung von Schwachstellen verhindert werden soll. Web Application Firewalls schützen das System vor dem Diebstahl ausgehender Daten, Website-Cloaking, Cross-Site-Scripting (XSS), SQL-Injektionen, OS-Befehlsinjektionen, Auskundschaftung von Websites, Session-Hijacking, Denial-of-Service-Angriffen auf Anwendungen, schädliche Probes und Crawlers, Cookie- oder Sitzungsdiebstählen, Directory Traversal und der Weitergabe firmeninterner Daten.

Fazit

Es ist eine traurige Tatsache: Die riesigen Mengen persönlicher Daten, die in Website-Datenbanken lagern, sind eine kostbare Beute für Hacker und organisierte Kriminelle. Wie bei einem Banktresor in der „richtigen“ Welt ist dieses virtuelle Kapital ein Magnet für jene, die auch vor unredlichen Mitteln nicht zurückschrecken.

Die Kriminalität auf diesem Gebiet nimmt zu – und ein Ende dieses Trends ist nicht abzusehen; denn die Beute lohnt sich und die Aussicht, erwischt zu werden, ist relativ gering. Die gute Nachricht: Mit einer Kombination aus effektiven Maßnahmen und der richtigen Sicherheitstechnologie ist es relativ einfach – und für den überwiegenden Teil der Unternehmen auch erschwinglich –, diese Daten zu schützen.

Paul Thackeray ist Vice President EMEA von Barracuda Networks. Das Internet-Security-Unternehmen ist mit seinen Produkten auf der Infosecurity Europe 2009 vertreten, die von Dienstag bis Donnerstag, 28. bis 30. April, im Londoner Earls Court stattfindet.

(ID:2021426)