Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
Weiter geht es mit Informationen über interessante Vorträge zum Thema "Websecurity" auf den verschiedenen Sicherheitskonferenzen 2011. Den Anfang machen Vorträge rund um SSL:
Moxie Marlinspike: SSL And The Future Of Authenticity
Moxie Marlinspikes Vortrag auf der Black Hat USA 2011 hatten den Titel "SSL And The Future Of Authenticity" (vorhergehender Blogeintrag von ihm zum gleichen Thema) Er beschreibt die aktuellen Probleme der SSL-Nutzung, insbesondere mit den zu oft nicht vertrauenswürdigen Zertifizierungsstellen bzw. Angriffen auf diese, und schlägt eine Alternative vor, über die ich hier bereits im September 2011 ausführlicher berichtet habe: 'Convergence'.
Ivan Ristic: A Real-Life Study of What Really Breaks SSL
Ivan Ristic hat auf der "Hack In The Box" Konferenz 2011 einen Vortrag mit dem Titel "A Real-Life Study of What Really Breaks SSL" gehalten (Präsentation als PDF, aktualisierte Version als PDF, Ergänzung in Ivan Ristics Blog). Thema waren zum einen Schwachstellen in SSL (und dessen Umfeld) sowie Angriffe darauf, zum anderen eine Übersicht über den aktuellen Stand der "SSL-Sicherheit" (oder eher Unsicherheit). Kurz gesagt: Es gibt eine Vielzahl von Möglichkeiten, die Sicherheit von SSL zu unterminieren - und die meisten Websites nutzen gleich mehrere davon, um sich quasi selbst ein Bein zu stellen.
Auf der Black Hat USA 2011 hielt Ivan Ristic unter dem Titel "The Ultimate Study of Real-Life SSL Issues" einen weiteren Vortrag zum gleichen Thema, zu dem aber zumindest bisher kein Material veröffentlicht wurde. Da die Konferenz bereits Anfang August 2011 statt fand, ist damit wohl auch nicht mehr zu rechnen.
Juliano Rizzo und Thai Duong: BEAST
Juliano Rizzo und Thai Duong haben auf der "ekoparty Security Conference 7° edición" einen Vortrag mit dem Titel "BEAST: Surprising crypto attack against HTTPS", gehalten und dabei das Tool "BEAST" (Browser Exploit Against SSL/TLS) vorgestellt, das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff implementiert. Über diesen neuen Angriff habe ich bereits im September 2011 ausführlich berichtet. Neue Informationen seitens Juliano Rizzo und Thai Duong gibt es nicht. Ivan Ristic hat im Oktober 2011 mögliche Schutzmaßnahmen beschrieben.
Das war dann aber auch genug zu SSL, kommen wir zu anderen Themen:
Khash Kiani: OAuth - Securing the Insecure
Khash Kiani hat auf der Black Hat USA 2011 das OAuth-Protokoll und mögliche Schwachstellen bei seiner Verwendung bzw. Angriffe darauf beschrieben: "OAuth - Securing the Insecure". Der Link zum Whitepaper funktioniert nicht, aber Khash Kiani hat im SANS AppSec Blog einen Eintrag zum Thema veröffentlicht: "Four Attacks on OAuth - How to Secure Your OAuth Implementation".
An dieser Stelle eine kurze Werbeunterbrechung in eigener Sache: Im Entwickler Magazin 6.2011 ist ein Artikel von mir über die theoretischen Grundlagen des OAuth-Protokolls erschienen, im Entwickler Magazin 1.2012 gibt es eine Beschreibung der praktischen Nutzung von OAuth am Beispiel von PHP.
Martin Knobloch: Secure Your Software Using OWASP
Martin Knoblochs Vortrag auf der "Hack In The Box" Konferenz 2011 hatte den Titel "Secure Your Software Using OWASP" (Präsentation als PDF). Er gab darin einen Überblick über das Open Web Application Security Project (OWASP) und die davon bereitgestellten Hilfsmittel.
Sylvain Maret: Strong Authentication in Web Application
Sylvain Maret hat auf der Swiss Cyber Storm 2011 einen Vortrag zum Thema "Strong Authentication in Web Application" gehalten, in dem er zuerst die verschiedenen bekannten Authentifizierungssysteme und ihre Einsatzmöglichkeiten in Verbindung mit Webanwendungen vorgestellt hat. Im zweiten Teil der Vortrags ging es dann speziell um OpenID und dessen Einsatz.
Jörg Ewald: Application Security as a Team Effort
Ebenfalls auf der Swiss Cyber Storm 2011 hat Jörg Ewald einen Vortrag mit dem Titel "Application Security as a Team Effort" gehalten. Die Sicherheit von Webanwendungen wird bisher durch die Kombination verschiedener individueller Lösungen erreicht: Die Entwickler der Webanwendungen berücksichtigen die bekannten Sicherheitsstandards, Web Application Firewalls filtern mögliche bösartigen Requests aus und verhindern die Ausgabe sensitiver Daten, Virenscanner stellen sicher, dass Daten keine Schadsoftware enthalten. Jörg Ewald hat einen holistischen Ansatz vorgeschlagen, bei dem diese einzelnen Schritte (und weitere) enger miteinander verknüpft werden, um die Gesamtsicherheit zu erhöhen.
Alexander Klink & Julian Wälde: Effective Denial of Service attacks against web application platforms
Alexander Klink und Julian Wälde haben auf dem 28. Chaos Communication Congress (28C3) einen neuen DoS-Angriff auf Webanwendungen vorgestellt, der unter dem Namen "HASH-DOS" bekannt wurde ("Effective Denial of Service attacks against web application platforms"). Manche Hashfunktionen erlauben es, gezielt Kollisionen zu erzeugen, d.h. mehrere Werte zu bestimmen, die den gleichen Hashwert ergeben. Viele für Webanwendungen verwendete Skriptsprachen und Frameworks verwenden Hashfunktionen zum Speichern von POST-Daten. Durch entsprechend präparierte POST-Daten können die Webserver dann überlastet werden.
Artur Janc: Rootkits in your Web application
Artur Janc hat auf dem 28C3 einen Vortrag mit dem Titel "Rootkits in your Web application" gehalten. Statt die Webanwendung auf dem Server anzugreifen, kann der Angreifer auch deren Client übernehmen und danach beliebige Aktionen im Namen des betroffenen Benutzers ausführen. Gelingt es ihm, sich dabei z.B. im Local Storage oder der Web-Datenbank einzunisten, erhält er ein Rootkit, dass das Opfer nicht so schnell wieder los wird.
Rich Lundeen et al.: New Ways I'm Going to Hack Your Web App
Rich Lundeen, Jesse Ou und Travis Rhodes haben auf dem 28C3 neue Angriffe auf Webanwendungen vorgestellt: "New Ways I'm Going to Hack Your Web App". Sie griffen dabei auf (mehr oder weniger alt)bekannte Angriffe bzw. Schwachstellen zurück und stellten neue Möglichkeiten für deren Einsatz vor. Z.B. erlauben Clickjacking-Angriffe auf Facebook das Ausspähen von Informationen oder Übernehmen von Benutzerkonten.
Fabian Mihailowitsch: Don't scan, just ask
Fabian Mihailowitsch hat auf dem 28C3 in seinem Vortrag "Don't scan, just ask" neue Ansätze zum Finden von Schwachstellen in Webanwendungen vorgestellt. Ein von ihm entwickeltes Tool, genannt "Spider-Pig", berücksichtigt auch die Geschäftsbeziehungen von Unternehmen und liefert bei der Suche nach zu einem bestimmten Unternehmen gehörenden möglichen Angriffszielen bessere Ergebnisse als herkömmliche Verfahren.
Mehr zum "HASH-DOS"-Angriff und den weiteren 28C3-Vorträgen zum Thema "Web Security" finden Sie in meinem Artikel "28C3: Eine Konferenz, viele neue Angriffe" im Entwickler Magazin 2.2012.
In der nächsten Folge gibt es einen weiteren Überblick über 2011 auf den Sicherheitskonferenzen vorgestellte Forschungsergebnisse. Konkret geht es dann um Angriffe auf Autos und Insulinpumpen.
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks