Die Zukunft der Cyber-Kriminalität

gtr | April 2007
Sichern von anWenDungen
eine schnell steigende Anzahl von Malware-Angriffen
nutzt Schwachstellen in Softwareanwendungen aus.
Dies hat zur Folge, dass die Anwendungssicherheit in
hohem Tempo weiterentwickelt wird. Täglich werden neue
Bedrohungen, Ausnutzungstechniken und Schwachstellenklassen
entdeckt. Außerdem berichten die Medien im
Zusammenhang mit Topthemen wie Terrorismus und
organisierter Kriminalität zunehmend über Cyber-
Bedrohungen, wodurch das Thema Anwendungssicherheit
mehr Aufmerksamkeit erhält als je zuvor. Trotzdem tauchen
regelmäßig kritische Fehler in Standardsoftware für das
Internet und in weit verbreiteten Clientanwendungen auf.
Tatsächlich hat die Anzahl der kritischen Schwachstellen,
die in den letzten Jahren entdeckt wurden, nicht ab-,
sondern sehr stark zugenommen.
Diese Entwicklung wirft die offensichtliche Frage auf: Warum
gibt es heute mehr Schwachstellen als je zuvor? Wenn
Anwendungsentwickler heutzutage in Sicherheitsaspekten
besser ausgebildet sind und ihr Programmcode strengeren
Sicherheitstests unterworfen wird, dann sollte die Anzahl der
entdeckten Schwachstellen doch sinken. Die Antwort ist
beunruhigend: Anwendungssicherheit ist ein Wettrüsten, und
die Entwickler kämpfen darum, Schritt zu halten. Wenn immer
mehr Informationen über Softwarefehler und Methoden zu
ihrer möglichen Ausnutzung veröffentlicht werden, können
Hacker diese Informationen für ihre Suche verwenden und
Schwachstellen in Softwarekomponenten finden, die bisher
für sicher gehalten wurden. Zudem muss die Tatsache
berücksichtigt werden, dass Entwickler nicht perfekt sind und
ihre Fehler ausgenutzt werden können. Dies ergibt ein Rezept
für eine Katastrophe: ein unsicheres Internet, das voller
Softwareprobleme ist.
Zweifellos lässt sich sagen, dass das Auffinden von
Schwachstellen durch das derzeitige Interesse am Thema
Anwendungssicherheit erschwert wird. Programmfehler, die in
heutiger Standardsoftware auftauchen, sind subtiler und
komplizierter als solche Fehler, die vor fünf oder zehn Jahren
entdeckt wurden. Denn jedes Mal, wenn der Markt für
Anwendungssicherheit die Latte höher legt und Software
sicherer macht, setzen Hacker dementsprechend vergleichbare
Technologien ein, um Softwareschwachstellen besser zu
verstehen und noch tiefer befindliche Fehler zu finden.
Außerdem wurden sie durch Weiterentwicklungen einiger
Sollten unsere programme nicht endlich mal
sicher sein? trotz der verbesserungen bei der
entwicklung von Software findet malware
weiterhin Schlupflöcher, die sich ausnutzen lassen.
relevanter Technologien (vor allem statistische Analysen und
Sicherheitstests bzw. „Fuzzying“) in die Lage versetzt,
Werkzeuge zu entwickeln, mit denen sich potenzielle
Probleme relativ leicht orten lassen.
Um ein endloses Wettrüsten zu vermeiden, hat die
Sicherheitsgemeinde versucht, Gegentechnologien zu
entwickeln, die auf dem Ansatz basieren, dass
Programmfehler zwar vorhanden sein dürfen, ihre Ausnutzung
aber zu schwierig oder sogar unmöglich sein soll. Doch Hacker
werden nicht aufgeben, wenn sie auf neue Schutzmaßnahmen
treffen. Sie werden entweder herausfinden, wie sich das
Hindernis umgehen lässt oder ihre Angriffe auf eine andere
Stelle richten, die weniger geschützt ist. Hosts sind definitiv
weitaus besser als in der Vergangenheit geschützt. Mit diesem
Ansatz lassen sich aber keineswegs alle Probleme lösen. Wie
wird es weitergehen? Nachfolgend wird beschrieben, wie sich
die Situation unserer Meinung nach in den nächsten Jahren
wahrscheinlich entwickeln wird.
Webtechnologien
Das Web wird auch zukünftig einer der wichtigsten
Angriffsvektoren sein, vermutlich in einem noch größeren
Ausmaß als heute. Warum ist das Web bei den Bösen so
beliebt? Ganz einfach, weil die Webanbindung von
Unternehmen potenziellen Angreifern riesige Möglichkeiten
bietet. Es erfüllt alle Voraussetzungen: Es ist öffentlich, es gibt
eine große Codebasis, die von unbefugten und meist anonymen
Benutzern ausgeführt werden kann, und Webanwendungen
werden kaum auf Sicherheitsprobleme überprüft. Viele
Webanwendungen und Skripte werden von kleinen IT-Firmen
und -Beratern entwickelt, von denen viele kaum Kenntnisse
über tiefer gehende Sicherheitsprobleme in Webumgebungen
besitzen. Auch wenn sich die Lage der Entwicklergemeinde in
puncto Ausbildung etwas gebessert hat, sind Webentwickler
trotzdem im Nachteil, weil Webframeworks und -technologien
so schnell weiterentwickelt werden.
von Mark Dowd
Anwendungssicherheit ist ein Wettrüsten,
und die Entwickler kämpfen
darum, Schritt zu halten.
In den vergangenen Jahren gab es eine begrenzte, aber
bekannte Anzahl von Angriffsvektoren zum Kompromittieren
einer Website: SQL-Injektion, XSS-Angriffe (Cross-Site
Scripting, siteübergreifende Skripte), HTTP-Response-Splitting,
zufällige Codeüberprüfung (accidental code evaluation),
Probleme durch eingeschleuste Dateien, ungeschützter
Servlet-Zugriff, Sitzungsdiebstahl, Zugriffe auf zustandslose
Seiten (out-of-state page access), usw. Einige der beliebtesten
Tricks kennen die Webentwickler so langsam (vor allem SQL-
Injektion und XSS), andere Probleme werden jedoch noch
eine Weile bestehen bleiben. Inzwischen werden komplexere
Webanwendungen immer beliebter. In diesen können noch
tiefer gehende oder spezifischere Probleme verborgen sein,
die noch nicht vollständig untersucht wurden. So kann zum
Beispiel die umfangreiche Verwendung von AJAX- und
anderen Objekt-Serialisierungs-Frameworks zu zustandslosen
Objekten, Verarbeitungsfehlern bei der Serialisierung/
Deserialisierung selbst, unerwarteten Vererbungsproblemen
und anderen Problemen führen. Der Einsatz von XML hat
auch XML-Injektionsangriffe möglich gemacht – mit einigen
interessanten Konsequenzen. Seit kurzem gibt es auch den
Trend, andere Protokolle (wie SOAP), die für sich genommen
schon kompliziert genug sind, auf HTTP aufzusetzen. Dahinter
steht der Gedanke, Webanwendungen aufzuwerten und
Funktionen bereitzustellen, die Perimeterfirewalls nicht
beeinträchtigen werden. Diese Ziele wurden von den
Entwicklern zwar verwirklicht, aber um den Preis, dass neue,
Webentwickler sind im Nachteil, da
Webframeworks und -technologien
so schnell weiterentwickelt werden.
größtenteils ungetestete Funktionen über einen
hackerfreundlichen Kanal verfügbar gemacht werden.
Weiterentwicklung der
Funktionalität
Führende Firmen aus den verschiedensten Netzwerkbereichen
haben das Ziel gemeinsam, ihren Kunden ein
immer vielfältigeres Internet anzubieten, und versuchen, dies
über Erweiterungen vorhandener und Implementierungen
neuer Internetprotokolle zu erreichen. In der Vergangenheit
bestanden die Anforderungen an die meisten Clientcomputer
darin, dass auf ihnen E-Mail-Programme und Webbrowser
ausgeführt werden können. Heute möchten die Benutzer
außerdem in der Lage sein, Medien zu streamen, per Chat,
Internet-Messaging-Client oder VoIP miteinander zu
kommunizieren sowie neue Feeds zu empfangen. So viel
Funktionalität hat ihren Preis, und die Sicherheitsbranche
muss oft feststellen, dass sie einem beweglichen Ziel
hinterjagt. Ständig werden Sicherheitsprobleme in den
neuen Technologien aufgedeckt, insbesondere in deren
Anfangsphase. Und jedes neue Protokoll oder jede neue
Client/Server-Anwendung, die in großem Umfang eingesetzt
werden, stellen für Hacker und Fehlersucher neue Ziele dar,
die sich ausnutzen lassen.
Zukünftig wird der Schweregrad von Schwachstellen, die in
einige der derzeit am meisten verbreiteten Fehlerklassen
fallen, wahrscheinlich zurückgehen. So werden zum Beispiel
Speicherausnutzungsfehler in fünf Jahren wahrscheinlich
weniger schwer ins Gewicht fallen, da bis dahin
Speicherschutztechnologien so weit entwickelt sind, dass
eine Ausnutzung dieser Art von Schwachstellen verhindert
wird. Das soll aber nicht heißen, dass die Fehlersuche in
neuem Code überflüssig sein wird. Die Einführung neuer
Technologien bringt oft mit sich, dass neue Wege entdeckt
werden, auf denen Anwendungen angegriffen werden
können. So galt es zum Beispiel nicht als gefährlich,
Webseiten mit größtenteils statischen Inhalten im Browser
anzuzeigen, jetzt gibt es jedoch clientseitige XSS-Angriffe,
ActiveX-Ausnutzungen, SQL-Injektion auf Servern, usw. In
ähnlicher Weise wird die Einführung neuer Technologien
(wie HTML/XML-Erweiterungen zur Inhaltsbereitstellung,
verwaltete Anwendungen und Mediensoftware)
wahrscheinlich neuen interessanten Fehlerklassen den Weg
bahnen, die bisher noch nicht in Sicherheitskreisen erörtert
oder von Softwareherstellern erwartet wurden.
gtr | April 2007 7
Multifunktionale Clients und
leistungsfähigere Steuerelemente
Obwohl das Web ursprünglich für die Übermittlung statischer
Inhalte ausgelegt war, hat es sich durch den Einsatz von CGI-
Anwendungen und serverseitigen Technologien jedoch in
Richtung dynamische Inhalte entwickelt. Außerdem musste
Clientsoftware mehr und flexiblere Funktionen enthalten,
damit interaktive Client/Server-Anwendungen als
Übermittlungsprotokoll HTTP (und in geringerem Umfang
auch andere Protokolle) nutzen konnten. Durch den Einzug
von Java und JavaScript in Webbrowser konnte ein Teil der
Arbeit dem Client aufgebürdet werden, was sich positiv auf
die Arbeitsproduktivität der Benutzer auswirkte, da nun nicht
mehr jede einzelne Aktion an Webserver weitergereicht
werden musste.
Die ActiveX-Technologie von Microsoft eröffnete den
Webbrowser-Steuerelementen vollkommen neue
Möglichkeiten, da Entwickler nun Steuerelemente erstellen
konnten, die sich über eine Webseite aktivieren lassen und
mächtige Funktionen bereitstellen. ActiveX-Steuerelemente
finden sich in Spielen, bei der Softwareversionsprüfung, in
Übertragungs-Managern, bei der Einbettung von Dokumenten
und bei vielen anderen Gelegenheiten, bei denen die
Browserfunktionalität erweitert werden muss. Jede einzelne
dieser Technologien hat zu Schwachstellen geführt, über die
Hacker die Kontrolle über Computer von Opfern erlangen
können, wenn diese eine Webseite mit böswilligem Inhalt
auch nur besuchen. Dies gilt besonders für ActiveX, da bei
solchen Steuerelementen nicht eingeschränkt ist, welche
Funktionen sie enthalten dürfen. Zudem leiden viele
Steuerelemente unter Schwachstellen, die daraus resultieren,
dass sie zu komplexe Aufgaben durchführen sollen.
Auch wenn es immer mehr Einschränkungen bezüglich der
Verwendung solcher Clientsonderfunktionen gibt, stehen wir
kurz vor einer neuen Welle an Clientfunktionen, die auf