Sicherheit von Webapplikationen stärken

Feature | 10. Januar 2007 von admin 0

Jeremiah Grossman

Jeremiah Grossman

Welche Aufgaben und Ziele hat das Web Application Security Consortium?

Grossman: Das WASC ist eine internationale Gruppe, die sich aus Experten, Branchenfachleuten und Vertretern von Unternehmen und Behörden zusammensetzt. Wir kümmern uns um die Entwicklung von Standards und Best Practices für die Sicherheit von Webapplikationen. So legen wir beispielsweise Kriterien für die Bewertung von Firewalls fest , unterhalten ein offenes Diskussionsforum und informieren über die vielfältigen Facetten des Themas.

Das WASC organisiert verschiedene branchenspezifische Projekte wie die „Threat Classification“ oder die „Web Hacking Incident Database“ und veröffentlicht regelmäßig technische Informationen und Artikelbeiträge , Sicherheitsrichtlinien sowie andere Dokumentationen . Außerdem halten wir sämtliche Marktteilnehmer über Fragen der Webapplikationssicherheit auf dem Laufenden – aus einer von Softwareunternehmen unabhängigen Perspektive.
Die Tätigkeit des WASC wirkt sich schon jetzt positiv auf Softwareentwicklung, Schwachstellenbewertung und zukunftsorientiertes Denken aus. Beispiele dafür sind zentrale Lager für sichere „Code Snippets” – das sind einzelne Codeausschnitte – oder „Proof of Concept“-Attacken. Bei diesen Attacken wird ein Exploit – ein Programm, das eine Sicherheitslücke in einem Computersystem ausnutzt – oftmals zu bloßen Demonstrationszwecken geschrieben und veröffentlicht. Dadurch soll erreicht werden, dass Hersteller von Software möglichst schnell auf bekannt gewordene Sicherheitslücken reagieren.

Sie sind einer der Gründer des Konsortiums. Wie ist die Idee entstanden, eine solche Gruppe ins Leben zu rufen?

Grossman: Als es noch keine Organisation gab, wussten Branchenneulinge nicht, an wen sie sich wenden sollten, es gab keine Standards für Best Practices, und gemeinsamen Projekten fehlte die Basis. Robert Auger – ein bekannter Fachmann für Schwachstellen im Bereich der Webapplikationssicherheit sowie Vorstandsmitglied und Direktor des WASC – und ich suchten damals einen Weg, um diese Probleme zu lösen: einen Ort, an dem Experten und andere an Webapplikationssicherheit Interessierte gemeinsam an Projekten arbeiten und Fragen diskutieren können, die ihnen am Herzen liegen. Dieses Konzept stieß auf breite Zustimmung. Im Januar 2004 haben wir mit Unterstützung einiger Organisationen und anerkannter Experten, etwa Caleb Sima, Ryan Barnett, Yuval Ben-Itzhak, Sverre Huseby oder Amit Klein, das WASC gegründet und eine Reihe von Grundprinzipien festgelegt.

Wer gehört dem Konsortium heute an?

Grossman: Softwareentwickler, Führungskräfte, Manager und andere, die sich für das Thema interessieren. Das WASC funktioniert als Meritokratie mit einer hierarchisch organisierten Struktur aus Mitgliedern, Direktoren, Ausschuss- und Vorstandsmitgliedern. Die Organisationsstruktur dient als Rahmen für die Aktivitäten des Konsortiums. Wir passen ihn immer wieder an, denn da das WASC allen Interessenten offen steht, wachsen wir ständig.

Welche Probleme können bei der Nutzung von Webapplikationen auftreten?

Grossman: Bei Webapplikationen sehen Softwareentwicklung und mögliche Bedrohungsszenarien grundlegend anders aus als bei herkömmlicher Software. Wenn man heute Software über das Internet zur Verfügung stellt, haben potenziell hunderte von Millionen Menschen darauf Zugriff. Die überwiegende Mehrheit nutzt die Software für den vorgesehenen Zweck; andere hingegen sind nicht so nett. Das Umfeld bietet viele Möglichkeiten für neue Angriffsarten wie Cross-Site Scripting (XSS) und SQL Injection, die in dieser Art vorher nicht existierten. Zudem haben sich bereits existierende Softwaresicherheitslücken exponentiell vergrößert. Nie zuvor stand Software auf einen Schlag über 700 Millionen Anwendern zur Verfügung. Eine einzige Schwachstelle oder ein einziger Programmfehler, beispielsweise ein Webwurm, kann sich verheerend auswirken. Doch immer mehr Organisationen wie Unternehmen oder Behörden verlassen sich bei ihren Geschäftsvorgängen auf Webapplikationen. Der Schutz der sensiblen Daten wird daher immer wichtiger.

Die uneinheitliche Umsetzung von HTML, CSS (Cascading Style Sheets) und anderen Spezifikationen für Browser kann bei der Entwicklung und Unterstützung von Webapplikationen Probleme bereiten. Der Umgang mit Cookies, verschiedene Formate für die Dateneingabe und die Kontrolle der Ausgabeformate sind – was Webbrowser und Webserver betrifft – noch sehr undurchsichtige Bereiche. Anwender passen die Ansichtseinstellungen ihrer Browser selbst an, beispielsweise durch die Wahl unterschiedlicher Schriftgrößen und Farben oder durch Deaktivierung der Skriptunterstützung. Auch das kann sich störend auf die einheitliche Realisierung von Webapplikationen auswirken.

Wie funktioniert Webapplikationssicherheit? Welche Bedeutung kommt ihr zu?

Grossman: Theorie und Praxis der Webapplikationssicherheit konzentrieren sich auf die beiden folgenden Fragen: Wie können Webapplikationen angegriffen werden, und wie kann man sie gegen diese Angriffe schützen? Überall dort, wo Daten in eine Webapplikation eingegeben werden oder eine Geschäftsfunktion angeboten wird, entsteht auch ein Loch für Angriffe. Ohne ausreichende Sicherheitskontrollen ist hier Manipulation möglich, etwa bei einem elektronischen Warenkorb.

Welche Standards hat das Konsortium bis jetzt im Bereich der Webapplikationssicherheit entwickelt?

Grossman: Auf dem Gebiet der Standardisierung können wir bisher zwei Erfolge vorweisen: Da gibt es zunächst die Klassifikation „Web Security Threat Classification” . Bei diesem Projekt ging es darum, die Gefahren für die Sicherheit einer Webseite zu definieren und zu gliedern. Denn die Klassifizierung der Bedrohungen trägt dazu bei, dass Softwareentwickler und -unternehmen, Sicherheitsfachleute und Konformitätsprüfer eine einheitliche Sprache in Fragen der Websicherheit sprechen.

Dann gibt es noch die „Web Application Firewall Evaluation Criteria“ (WAFEC). Das sind Prüfkriterien, mit denen sich die Qualität von Firewalllösungen für Webapplikationen bewerten lässt. WAFEC ist das gemeinsame Projekt einer Gruppe von Sicherheitsexperten, Branchenfachleuten und Vertretern von Softwareunternehmen. Es zielt darauf ab, unabhängige und herstellerneutrale Kriterien für die Bewertung von Firewallprodukten für Webapplikationen (Web Application Firewall, WAF) zu gewinnen. Die WAF-Technologie ist mittlerweile ein wesentlicher Bestandteil der Infrastruktur für die Websicherheit; sie ist außerdem eine Voraussetzung dafür, dass Webapplikationen vor Sicherheitslücken geschützt sind, die zum Diebstahl von Finanz- oder persönlichen Daten führen.

Softwareunternehmen und Verbraucherorganisationen beurteilen WAF-Produkte jedoch unterschiedlich; es fehlte daher bisher eine einheitliche Basis für den Vergleich konkurrierender Angebote. Es war daher bisher recht kompliziert und sehr zeitraubend, das geeignete Produkt zu finden. Das WAFEC-Projekt ermöglicht nicht nur einen Vergleich zwischen den Produkten, sondern erlaubt es dem Anwender auch, die Anforderungen und den inneren Aufbau der verschiedenen Systeme zum Schutz einer Anwendung zu verstehen. Das Projekt bietet eine standardisierte und leicht verständliche Struktur zur Bewertung der WAF-Technologie. Dazu gehört auch eine Testmethodik, mit der ein Techniker die Qualität einer WAF-Lösung bewertet.
Das WAFEC-Projekt will nicht unbedingt die Funktionen dokumentieren, die ein Produkt unterstützen muss, um als Web Application Firewall (WAF) zu gelten. Vielmehr weist es auf Funktionen hin, die für ein bestimmtes Projekt von Bedeutung sein könnten. Im Mittelpunkt stehen dabei Fragen wie „Kann das Hilfsmittel sowohl im passiven als auch im aktiven (Inline-)Modus benutzt werden?“, „Wie kann die WAF genutzt werden, um auf geschützte Daten zuzugreifen?“ oder „Unterstützt die WAF eine vollständige Virtualisierung der externen Anwendungsdarstellung?”

Wie bringen Sie Ihre Ergebnisse an die Öffentlichkeit?

Grossman: Wenn ein Projekt die nötige Reife hat, geben wir das per Mitteilung über unseren Verteiler sowie unsere Homepage bekannt. Und die Resonanz darauf ist meist sehr groß: Wir bekommen normalerweise viel Feedback aus der Community, etwa dazu, wie wir nachfolgende Updates verbessern können.

Die Internetkriminalität nimmt immer weiter zu: Welche verschiedenartigen Angriffe auf Webapplikationen haben Sie bisher erlebt?

Grossman: Ich habe bis jetzt nur wenig komplett neuartige Angriffe gesehen. Seit kurzem ist es eher so, dass gängige Angriffsarten größere Auswirkungen haben. Außerdem werden inzwischen oftmals kombinierte Angriffe genutzt, vor allem Cross-Site Scripting (XSS) in Verbindung mit Cross-Site Request Forgery (CSRF).

Wie begegnet man diesen Gefahren?

Grossman: Eine Möglichkeit besteht darin, Sicherheitslücken in Webapplikationen, wie sie die Web Security Threat Classification beschreibt, aufzufinden und zu schließen. Oder man organisiert die Entwicklung von Software so, dass Fehler von Anfang an reduziert werden. Möglich ist auch, einen „Solution Stack” zu entwickeln, der für eine gründliche Abwehr sorgt. Dabei handelt es sich um ein Set aus einzelnen Softwaresystemen oder -komponenten, wie Betriebssystem, Webserver-Datenbank oder Programmiersprache, die für eine funktionierende Lösung nötig sind. Eine Maßnahme ist auch die standardisierte unternehmensweite Kontrolle der Dateneingabe oder das Filtern der Datenausgabe, um von Anfang an Fehler zu vermeiden. Die Verantwortung für einen sicheren E-Commerce muss auf allen Ebenen eines Unternehmens – von der Geschäftsführung über die Sicherheitsinfrastruktur bis hin zu den Softwareentwicklern – wahrgenommen werden: Jeder hat dabei seine eigene Rolle.

Welche Veränderungen hat es in den vergangenen Jahren bei Webapplikationen gegeben? Gibt es neue Trends? Wohin wird die Entwicklung führen?

Grossman: Jeden Monat werden Millionen neuer Websites ins Internet gestellt. Glücklicherweise werden die Rahmenbedingungen, in denen Webapplikationen funktionieren, immer sicherer. Die Zahl der normalen Sicherheitslücken ist dadurch erheblich reduziert worden, vor allem im Fall von XSS, SQL-Injektion oder Session-basierten Problemen. Das heißt jedoch nicht, dass diese Probleme komplett erledigt wären, im Gegenteil. Denn Webapplikationen werden gegenwärtig immer größer und komplexer. Dadurch erhöht sich auch die Wahrscheinlichkeit von Sicherheitslücken. Meiner Meinung nach wird die Zahl der Sicherheitslücken für SQL-Injection und Session Hi-Jacking abnehmen. Dagegen werden gezielte Angriffe auf Websites wie MySpace and Friendster zunehmen.

Welche Rolle spielen soziale Netzwerke und das „Web 2.0“? Tragen sie zu einer Verschärfung der bereits genannten Risiken bei?

Grossman: Von einer Community erstellte inhaltliche Websites wie MySpace, Live Journal, Yahoo Mail, Gmail und andere sind deshalb lohnende Ziele, weil böswillige Eindringlinge dort eine große Zahl von Benutzern abschalten oder infizieren können. XSS ist eine beliebte Methode zur Übertragung von „JavaScript Malware“, deren Schadenspotenzial im vergangenen Jahr gewachsen ist. Ich gehe davon aus, dass es auf Websites wie den genannten vermehrt Probleme mit Internetwürmern geben wird.

Welche persönlichen Ziele haben Sie?

Grossman: Ich wünsche mir, dass das WASC weiterhin – und zunehmend – als zuverlässiger Ort für Informationen über die Webapplikationssicherheit gilt. Ich sehe es als Erfolg, dass sich die Community durch das WASC vergrößert. Was das Thema Sicherheit insgesamt anbelangt, so würde ich gerne erleben, dass der Anteil gefährdeter Websites von der überwiegenden Mehrheit auf einen kleinen Bruchteil zurückgeht.

Leave a Reply