Wer Web-Applikationen nicht hinreichend absichert, macht es Angreifern leicht, Datendiebstahl und -missbrauch zu begehen. Unerkannte Sicherheitslücken können auf allen Ebenen einer Systemarchitektur lauern. Daher reichen Einzelmaßnahmen bei der Absicherung der Web-Applikation oft nicht aus, stattdessen braucht es eine mehrschichtige Sicherheitsarchitektur, die alle Aspekte abdeckt. Der Web Application Security Day der W-JAX 2009 soll all diese Aspekte beleuchten und den Teilnehmern nützliche Tipps für die Sicherheit ihrer Anwendung auf den Weg geben. Wir sprachen mit W-JAX-Speaker Manu Carus, Autor des Buches "Ethical Hacking", über seine Session "Ethical Hacking for Developers - Looking at the dark Side of the Moon".

JAXenter: Auf der W-JAX werden sie im Rahmen des Web Application Security Day über "Ethical Hacking für Entwickler" sprechen. In welcher Bedeutung verwenden Sie den Begriff "Ethical Hacking"?

Manu Carus: Will ein Entwickler seine Applikation schützen, muss er wissen, wie Software typischerweise angegriffen wird. Dies kann er am besten herausfinden, indem er sich selbst in die Rolle eines Angreifers begibt: Schwachstellen finden unter Echtheitsbedingungen - bevor andere sie finden. Ich glaube, dies trifft am ehesten den Begriff des "Ethical Hackings". In Fachkreisen wird gerne auch die Bezeichnung "Pentesting" (Penetration Tests) verwendet.

JAXenter: Inwiefern hat Hacking überhaupt etwas mit Ethik zu tun?

Manu Carus: Der Gesetzgeber unterlag bereits mit der Verabschiedung des sogenannten Hackerparagraphen (§ 202c StGB) im Mai 2007 der fälschlichen Überzeugung, man müsse Software verbieten, durch deren Einsatz potentieller Schaden angerichtet werden kann. Ein solches Verbot löst das Problem nicht. Angreifer wissen sich zu verbergen, und die eingesetzte Technik unterstützt vollständige Anonymität im Netz. Wenn dem Verursacher also nichts nachgewiesen werden kann, verpufft die Androhung strafrechtlicher Konsequenzen. Ich halte den Einsatz von Hackertools für unverzichtbar, denn sie helfen uns zu verstehen, wie unsere Software angreifbar ist. Dieses Wissen positiv umzusetzen ist durchaus ethisch. Es entsteht ja kein Schaden, ganz im Gegenteil.

JAXenter: In Ihrer Session begeben Sie sich ja auf die dunkle Seite des ewigen Kampfes zwischen Sicherheitsexperten und Hacker, die darauf aus sind, vermeintlich abgesicherte Software zu knacken. Welche Erkenntnisse gibt uns dieser Einblick in die Lage des Angreifers, dieser Blick auf die "Dark Side of the Moon"?

Manu Carus: Angreifer wissen die klassischen "Schutzmechanismen" der Entwickler zu umgehen. Sie stehlen authentisierte Sessions, verschaffen sich die erforderlichen Rechte und klinken sich in verschlüsselte Verbindungen ein. Klassische Schutzmaßnahmen können durch einfachste Angriffe ausgehebelt werden. Letztere zu verstehen ist der erste Schritt für eine wirksame Absicherung der eigenen Applikation.

JAXenter: Wo liegen Ihrer Meinung nach die größten Schwächen in gängigen Netzwerkprotokollen?

Manu Carus: Protokolle wie TCP, SMTP und DNS stammen aus den 80er Jahren. Keines dieser Protokolle wurde mit dem Ziel entworfen, eine fälschungssichere und vertrauensvolle Kommunikation zu schaffen. Und genau das zeichnet diese Protokolle heute noch aus: Sie transportieren Daten - mehr nicht. Von wem die Daten stammen und ob sie unterwegs verfälscht oder mitgelesen wurden, interessiert nicht. Aus diesem Grund befinden wir uns sicherheitstechnisch immer noch im tiefsten Mittelalter.

JAXenter: Haben Sie noch einige Tipps parat, mit welchen Mitteln man diese Schwächen effektiv ausgleichen kann?

Manu Carus: Planen Sie Security-Maßnahmen in alle Phasen ihrer Software-Entwicklung ein: in die Anforderungsdefinition, in die Analyse, ins technische Design, in die Entwicklung und in den Test. Achten Sie auf gegenseitige Authentisierung, Verschlüsselung, Autorisierung und Integrität, und die meisten Seitenkanalangriffe können bereits ausgeschlossen werden.

JAXenter: Vielen Dank für dieses Gespräch!

Manu Carus ist LPT, ECSA und CEH. Als freiberuflicher Security-Spezialist führt er Security-Audits, Pentests und Reviews durch und unterstützt internationale wie mittelständische Unternehmen in der Abhärtung ihrer Systeme, Prozesse und Organisationen. Manu Carus ist als Sprecher auf Fachkonferenzen aktiv und veröffentlicht in Fachzeitschriften, Büchern und Podcasts.