Rückblick zum 17. BremSec-Forum zum Thema Softwaresicherheit

(PresseBox) (Bremen, ) Das Fokusthema des 17. BremSec-Forums, welches diesmal am Fallturm beim TZI stattfand, beschäftigte sich mit den Anforderungen an Sicherheitskonzepte in der Unternehmenspraxis. Dabei wurde die Fragestellung diskutiert, wie man eine angemessene Informationssicherheit für Unternehmen bei Software-Anwendungen gewährleisten kann. Der Vortrag von Dr. Karsten Sohr, TZI, beschäftigte sich daher mit den potenzielle Risiken und Ideen, Methoden und erforderlichen Kompetenzen zum professionellen Umgang damit. Anschließend erfolgte eine Diskussion, ob ein unabhängiges Security Labor (SecLab) in unserer Region im Umfeld der Universität/Hochschule Bremen für KMUs Vorteile bietet kann. Die DECOIT GmbH war als BremSec-Partner wieder vor Ort, um aktiv an der Diskussion teilnehmen zu können.

Motivation, sich die Softwaresicherheit dediziert anzusehen gibt es genug. So führt die zunehmende Vernetzung (u.a. mittels SOAP) dazu, dass Programme standardmäßig sich über das Internet mit aktuellen Updates o.ä. versorgen. Zudem werden Softwareanwendungen (z.B. durch neue Plugins) kontinuierlich erweitert. Die Komplexität bei Betriebssystemen (Vergleich: Win3.1 = 3 Millionen Zeilen Code, WinXP = 40 Millionen Zeilen Code), Identity Management, Datenbanken etc. führt zu immer größeren Fehlern. Die Konsequenz ist dabei: je komplexer die Software ist, desto mehr Fehler sind in der Software vorhanden. Dadurch sind momentan für Hacker bereits einfache Fehler nutzbar; detaillierte Informationen sind noch nicht von Nöten.

Insgesamt stieg die Software-Verwundbarkeit seit dem Jahr 2000 stark an. Heute liegen ca. 8.000 CERT-Meldungen über Hacking-Einbrüche vor, im Gegensatz zu 100 Meldungen im Jahr 1999. Dabei lassen sich die häufigsten Angreifermethoden wie folgt auflisten:

1. Buffer Overflow: Angriff auf Webserver; meisten Viren - besonders Würmer - nutzen dies aus. Ziel: Einschleusen von Code und Ausnutzen von Programmierfehlern. Beispiel: Conficker nutzt RPC-Schwachstelle, um auf entfernte Konsolen zugreifen zu können (keine E-Mail-Infizierung!)

2. Cross-Site-Scripting: es werden Skripte ausgeführt auf dem Opferrechner, wodurch Cookies ausgelesen werden können. Auch Eingabefenster für Passwörter können simuliert werden. In jedem Fall hat bei erfolgreichen Angriffen der Betreiber des Webservers ein Sicherheitsproblem.

3. SQL-Injection: viele Webanwendungen speichern Kundendaten (direktes schreiben in Datenbanken). Der Angreifer gibt aber andere Daten (z.B. ein Skript) als vorgesehen ein, wodurch z.B. ein Buffer Overflow ausgelöst wird. Zusätzlich können Injection-Fehlermeldungen dem Angreifer viel verraten.

4. Race Consitions: Time of Check Time of Use; es werden Angriffe durch parallele Abfragen eingeschleust.

5. Privilege Escalation: Angreifen auf abgegrenzte Adminbereiche. Dabei wurden auch schon Sicherheitslücken bei Sony Ericsson im Jahr 2007 festgestellt. Bei Java-Handys konnten interne Dateien überschrieben werden, wie z.B. das Herstellerzertifikat. Alle Funktionen bis auf das Telefonieren konnten Remote ausgenutzt werden. Diese Schwachstelle konnte aber nur durch Softwareinstallation ermöglicht werden. Ausgelöst wurde sie durch ein einfaches versenden von einer SMS.

Um sich einen Überblick über die eigene Software-Sicherheit zu verschaffen, sollte man Sicherheitsrisiken der jeweiligen Applikation besser kennen. Dies kann u.a. durch das regelmäßige Lesen von Bugtraqs, CERT und BSI über Software von Drittanbietern erreicht werden. Auch ist ein regelmäßiges Patchen absolut notwendig. Beim Export Export interner Software sollte man vorsichtig sein und nur zertifizierte Updates zulassen. Um die Sicherheit einer Applikation abschätzen zu können, müssen Penetrationstests durchgeführt werden. Dies sollte bereits in der Entwicklung geschehen und nicht erst nach Fertigstellung, da dann evtl. Fehler sich kaum noch beseitigen lassen. Software muss daher auch nach sicherheitstechnischen Ansätzen programmiert bzw. ins Design integriert werden und bereits Sicherheitsmerkmale integrieren (wie z.B. SSL, Signaturen).

Als Fazit kam heraus, dass Designfehler in der Softwareentwicklung ca. 50% der Sicherheitslücken heute ermöglichen. Daher sollten öfters Code Reviews mit einem Softwarewerkzeug durchgeführt werden. Penetrationstests sollten im Entwicklungsprozess ein fester Bestandteil werden. Hierfür gibt es diverse Werkzeuge wie Diassembler, Fuzzer, http Analyzer, SPI Dynamics, die einem dabei helfen können.

Abschließend wurde die Gründung eines Information Security Research Center (iSrc) zwischen der Hochschule Bremen und der Universität Bremen diskutiert. Dabe soll die Bündelung der wissenschaftlichen Kompetenzen im nordwestdeutschen Raum auf dem Gebiet der Informationssicherheit erreicht werden. Eine firmenspezifische oder produktspezifische Beratung (z.B. zu SAP, RedHat) soll dabei nicht erfolgen, da man sich nicht gegen kommerziellen Anbietern oder dem IFIT positionieren will, sondern versuchen möchte die wissenschaftliche Seite besser abzudecken. Kernarbeiten werden daher Forschungsvorhaben sein. An der Hochschule Bremen soll im Rahmen dieser Arbeiten ein Sicherheitslabor aufgebaut werden. Dieses soll die Analyse von einzelnen Systemen (z.B. Google Android) und netzbasierten Abläufe (z.B. SOA) ermöglichen. Damit versucht man "Sicherheit zum Anfassen" umzusetzen, um neue Lösungswege erforschen zu können.

Das nächste BremSec-Forum wird im Mai zum Thema "Voice-over-IP: sicher oder nicht sicher?" stattfinden. Diesmal wird die DECOIT GmbH hier über ihre praktischen Erfahrungen berichten, die sie durch eigene Projekte erfahren hat. Der Termin steht noch nicht genau fest und wird noch bekannt gegeben.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.