09.05.2007 | Autor / Redakteur: Dirk Srocke / Florian Karlstetter
Wer sich beim Finden und Eliminieren von Software-Schwachstellen allein auf Penetrationstests verlässt, ist nicht auf der sicheren Seite. Diese Verfahren überprüfen durchschnittlich nur ein Viertel aller Programmierschnittstellen und werden den an sie gestellten Erwartungen nicht gerecht, so der Sicherheitsdienstleister Fortify.
Im Report “Misplaced Confidence in Application Penetration Testing“ fasst Softwarehersteller Fortify seine Erkenntnisse zusammen. Grundlage des Papiers ist eine zweigeteilte Untersuchung. Zum einen befragte das Unternehmen Entwickler, die Sicherheitstests durchführen. Ergänzt wird die Erhebung durch eine Analyse der dabei eingesetzten Werkzeuge.
„Die Untersuchung zeigt, dass viele Tester die Effektivität von Blackbox-Tests für Applikationen und die Rolle dieser Tests bei einer sicheren Entwicklung falsch beurteilen“, sagt Jacob West, Manager der Security Research Group von Fortify. Ganz gleich ob die Codeanalysen automatisiert oder manuell durchgeführt würden, von einer umfassenden Kontrolle auf Sicherheitslücken könne nicht die Rede sein.
Auch bei der Kombination aus automatischen und manuellen Testläufen blieb mehr als jede zweite Programmierschnittstelle ungeprüft. Nachgewiesen wurde weiterhin, dass zahlreiche Sicherheitslücken nicht erkannt werden, darunter SQL-Injections und Cross-Site-Scripting-Schwachstellen. Sensitive, in Logfiles abgelegte Daten werden durch Blackbox-Tests gar nicht erst erfasst.
„Logfiles sind äußerst verwundbar, und viele Hacker haben erkannt, dass sie einen einfachen Weg zu sensitiven Systemdaten anbieten“, so West. „Penetrationstests übersehen diese Schwachstelle, da sie außerhalb der Applikation ansetzen und daher nicht erkennen könnnen, welche Informationen in die Protokolldaten geschrieben werden“.
Die Meinungen der für den Report befragten IT-Mitarbeiter stehen dabei im kompletten Gegensatz zu den Ergebnissen des Sicherheitsdienstleisters. So gingen 46 Prozent der Befragten davon aus, dass Blackbox-Tests mindestens vier von fünf sicherheitskritischen APIs erfassen.
„Es liegt in der Natur der Blackbox-Tests, dass bei Penetrationstests viel geraten werden muss. Daher sind solche Tests nicht so wirkungsvoll, wie sie sein könnten“, analysiert Chenxi Wang, Chefanalytiker bei Forrester Research. Für Unternehmen sei es daher am sinnvollsten, Blackbox-Tests mit entsprechendem Whitebox-Wissen zu kombinieren. Somit ließen sich auch Angriffe von fachlich versierteren Hackern simulieren.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004650)
