Skip to content

Drucksache: windows.developer Magazin 6.2015 - Angriffsziel TFS

Im windows.developer 6.15 ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen.

Der Team Foundation Server ist als Plattform für die kollaborative Softwareentwicklung theoretisch aus mehreren Richtungen gefährdet. In der Praxis sieht es mit seiner Sicherheit aber gar nicht so schlecht aus.

Bisher sind keine Angriffe auf TFS bekannt geworden, obwohl sie theoretisch möglich sind.

Wobei die Betonung auf "bekannt geworden" liegt, denn wer gibt schon gerne zu, dass zum Beispiel sein Sourcecode von einem Angreifer kopiert oder manipuliert wurde, wenn er das nicht unbedingt muss? Es kann also durchaus bereits Angriffe auf Team Foundation Server gegeben haben, die nur nicht an die große Glocke gehängt wurden. Denn anderswo gab es entsprechende Angriffe bereits. Zum Beispiel wurde bei Adobe Sourcecode kopiert, in den Ad-Server OpenX eine Hintertür eingebaut oder auf GitHub von einem Botnet nach Benutzerkonten mit schwachen Passwörtern gesucht.

Immerhin ist der Sourcecode von Closed-Source-Software für viele interessant. Cyberkriminelle und Geheimdienste könnten darin nach Schwachstellen suchen, Mitbewerber nach Hinweisen für die Verbesserung der eigenen Software. Außerdem ist der Sourcecode der eigenen Produkte meist das Wertvollste, was es im Unternehmen gibt. Allein das sollte schon Grund genug sein, ihn ausreichend zu schützen.

Der Nachteil des TFS ist dabei seine Komplexität und seine Abhängigkeit von weiteren Diensten (SQL Server, SQL Server Reporting Services, IIS, Windows SharePoint Services, Windows), die alle einzeln konfiguriert werden müssen.

Eigentlich ist die Auswahl der sichersten Konfiguration ja ganz einfach: Lokal muss Kerberos genutzt werden, übers Internet HTTPS mit Client-Zertifikaten. Das dann aber einzurichten, ist nicht gerade trivial. Und auch nicht einfach zu beschreiben, sonst hätte ich es hier im Artikel getan und nicht nur auf die entsprechende Dokumente von Microsoft verwiesen.

Zum Schluss noch kurz etwas zum Team Foundation Server 2015: Bisher wurden keine Neuerungen in Bereich Sicherheit angekündigt. Er wird aber zumindest indirekt von den Verbesserungen in Windows 10 wie zum Beispiel der besseren Unterstützung der Multi-Faktor- Authentifizierung profitieren.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks