Gegen Angriffe auf die Geschäftslogik hilft Sicherheit im Software-Entwicklungszyklus (SDLC)

Der Missbrauch schwer zu behebender Business-Logic-Sicherheitslücken in Web-Anwendungen ist zwar noch selten, kann aber hohen Schaden anrichten.

Schon vor langer Zeit haben sich mäßig begabte junge Hacker die nötigen Fertigkeiten oder auch nur Werkzeuge angeeignet, um Schwachstellen für Angriffe des Typs Cross-Site Scripting (XSS) oder SQL Injection (SQLi) auszunutzen. Das Ausnutzen von Schwächen in der Business Logic (Business Logic) aber ist ein Feld, das diese sogenannten "Skript-Kiddies" bislang nicht erschlossen haben – XSS- und SQLi-Angriffe sind zu einfach, als dass sie sich die Mühe dafür machen würden. Trotzdem bezeichnen 88 Prozent von 600 Sicherheitsprofis, die vom Ponemon Institute LLC befragt wurden, Angriffe auf die Business Logic als mindestens so wichtig wie jedes andere ihrer Sicherheitsprobleme.

In diesem Artikel beschreiben wir neben den Gefahren, die Angriffe auf die Business Logic für Unternehmen beinhalten, auch einige der Gegenmaßnahmen. Eine davon ist die Betonung der Rolle von Sicherheit im Entwicklungszyklus für Software (SDLC, Software Development Lifecycle).

Wie Angriffe auf die Business Logic funktionieren

In der Studie definiert das Ponemon Institute den Missbrauch von Business Logic als das, was passiert, "wenn ein Krimineller eine Schwäche in der Geschäftslogik oder Funktionalität einer Website entdeckt". Die Verteidigung gegen solche Angriffe kann schwierig sein. Für die Attacke ist meist nicht mehr erforderlich ist als das, was Unternehmen über ihre Web-Anwendungen für Kunden oder den Zugriff auf andere Web-Anwendungen selbst zur Verfügung stellen. Die Schwachstellen reichen dabei von äußerst einfach bis hoch komplex und sind nicht auf selbst entwickelte Web-Anwendungen beschränkt. Ein Bericht von WhiteHat Security aus dem Jahr 2007 beschrieb einige verbreitete Business-Logic -Schwächen, die noch heute ausgenutzt werden, etwa schwache Validierung für Passwort-Wiederherstellungen und unkorrekte Programmierung von Web-Anwendungen, insbesondere hinsichtlich Verschlüsselung und Input-Überprüfung. In den letzten Jahren sind auch Angriffe auf die Business Logic zudem stärker automatisiert worden.

Die wichtigsten Risiken in diesem Zusammenhang sind verlorene Umsätze und unautorisierter Zugriff auf vertrauliche Informationen. Wieviel Geld Unternehmen durch Angriffe auf die Business Logic entgeht, ist schwer abzuschätzen. Aber der Zeitaufwand für die Behebung der Lücke kann hoch sein. Zudem lassen sich derartige Schwachstellen auch als Ausgangspunkt für das Eindringen in ein Netzwerk zwecks Zugriff auf sensible und wertvolle Informationen nutzen. Ein bekanntes Beispiel für einen solchen Angriff: Der Hacker weev nutzte eine offene API, um E-Mail-Adressen von iPad-Besitzern herauszufinden, die AT&T versehentlich im Web zugänglich gemacht hatte. Derartige Probleme dürften noch zunehmen, denn die Angreifer werden immer kreativer. Als Nächstes werden vielleicht auch Anwendungen außerhalb des Webs wie zum Beispiel Geldautomaten aufs Korn genommen.

Ist Sicherheit Teil Ihres Software-Entwicklungszyklus'?

Aufgrund der Komplexität von Web-Anwendungen und ihrer Integration in den Geschäftsbetrieb von Unternehmen kann die Behebung von Business-Logic-Fehlern sehr schwierig sein. Traditionelle Sicherheitswerkzeuge für Web-Entwicklung wie Sicherheitsscanner und Firewalls sind gegen derartige Angriffe zudem machtlos, weil sie meist speziell gegen eine bestimmte Site gerichtet sind.

Auch andere Sicherheitswerkzeuge wie Systeme für Intrusion Detection sind hier wenig hilfreich, weil der Datenverkehr von Web-Anwendungen meist verschlüsselt ist. Um das zu umgehen, muss die SSL/TLS-Verbindung an einem Load-Balancer (oder einem ähnlichen Gerät) terminiert werden, hinter dem der entschlüsselte Traffic dann analysiert werden kann. Zudem lassen sich alle Werkzeuge so programmieren, dass sie nach Anomalien im Datenverkehr von Web-Anwendungen oder überraschenden Werten in bestimmten Eingabe-Feldern suchen. Mehrere Anbieter haben auch Werkzeuge zur Entdeckung und Verhinderung von Schwächen in der Business Logic im Programm. Das sind etwa SilverTail Systems oder WhiteHat Security. Solche Produkte von Dritten können helfen, doch wie immer hängt es von den genauen Problemen und den Kosten ab, ob sie ausreichen oder nicht.

Einer der wichtigsten Aspekte der Bekämpfung von Business-Logic-Fehlern ist in jedem Fall die Verbesserung von Sicherheitsprozessen im Software-Entwicklungszyklus. Immer mehr Programmierer und auch Nicht-Programmierer schreiben heute Web-Anwendungen und Mashups. Umso wichtiger ist es, dass bei der Programmierung von Web-Anwendungen robuste Sicherheitsprinzipien eingehalten werden.

Der Software-Entwicklungszyklus einer Organisation sollte so aktualisiert werden, dass er auch die von WhiteHat Security skizzierten Prüfungen auf Fehler in der Business Logic umfasst. Dazu gehören Missbrauch von Funktionalität, unzureichende Prozess-Validierung, Durchsickern von Informationen, schwache Validierung bei Passwort-Wiederherstellung, vorhersagbare Ressourcen-Unterbringung und unzureichende Autorisierung. Für Entwickler wird es deutlich einfacher, bei ihrer Arbeit guten Sicherheitspraktiken zu folgen, wenn solche Prüfungen in die von ihnen benutzten Entwicklungsumgebungen integriert sind. Auch Schulungen dazu sollte es für Entwickler sowie Profis im Bereich Qualitätssicherung und Informationssicherheit geben, damit sie Schwächen finden können, die von den automatischen Werkzeugen übersehen werden.

Schlussfolgerung

Das Bewusstsein für den Missbrauch von Business Logic bei Unternehmen nimmt zu und mehr Ressourcen fließen in die Absicherung von Web-Anwendungen. Angesichts sehr vieler bedrohter Web-Anwendungen erscheint das auch angemessen. Allerdings machen solche Lücken bislang nur einen kleinen Teil der Verluste durch Cyber-Verbrechen aus. Selbst wenn Organisationen die besten Perimeter-Verteidigungsmaßnahmen ergreifen und jeden einzelnen Server und Desktop-Rechner härten, können Angriffe auf die Business Logic all diese Absicherungen umgehen. Unternehmen sollten Schulungen zu Geschäftslogik-Schwächen in ihre Programme zu Informationssicherheit aufnehmen, um für mehr Bewusstsein zu sorgen und die Folgen möglicher Angriffe zu minimieren.

Über den Autor:

Nick Lewis (CISSP) ist Architekt für Informationssicherheit an der Saint Louis University. Er hat einen Abschluss als Master of Science im Bereich Information Assurance von der Norwich University und in Telekommunikation von der Michigan State University. Vor seiner Tätigkeit für die Saint Louis University hat Lewis an der University of Michigan und am Children's Hospital Boston gearbeitet, außerdem für Internet2 und die Michigan State University.

Artikel wurde zuletzt im Februar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close