Kein Folientitel

1
www.datenschutz.rlp.de poststelle_at_datenschutz.rlp
.de
LfD Rheinland-Pfalz H. Eiermann
2
Europäischer Datenschutztag 28. Januar 2008 Denn
Sie wissen nicht, was sie tun... Datenschutz in
der Online-Generation Info-Shop 3 Wie sicher
ist die Technik ?
Sicherheitsaspekte von Web-Anwendungen
LfD Rheinland-Pfalz H. Eiermann
3
Web-Anwendungen
LfD Rheinland-PfalzH. Eiermann
4
IT-Struktur Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann
5
Schulverwaltungsnetz
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
6
Pädagogisches Netz
Schulverwaltungsnetz
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
7
Pädagogisches Netz
Schulverwaltungsnetz
Intranet-Server
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
8
Pädagogisches Netz
Schulverwaltungsnetz
Intranet-Server
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
9
Pädagogisches Netz
Schulverwaltungsnetz
Intranet-Server
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
10
rlp-Netz
Pädagogisches Netz
Schulverwaltungsnetz
Web- / Intranet-Server
Mailserver
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
11
Angriffsszenarien ? IP SpoofingManipulation
von Datenpaketen ? ICMP-Attacken Missbrauch von
Kontrollnachrichten ? Replay-Attacken Aufzeichne
n und erneutes Einspielen von Datenpaketen ?
Buffer-Overflow-Attacken Einschleußen von
Programmcode durch Speicherüberlauf ?
ARP-Spoofing Manipulation von Datenströmen im
LAN ? DNS Spoofing Vortäuschen/Manipulation von
DNS-Angaben ? Web Spoofing Kontrolle der
Verbindung zwischen Client und Server ?
Protokoll-TunnelingKapselung in unverdächtigen
Protokollen ? Denial of Service-Attacken (DOS,
DDoS) SYN-Flooding, Mail-Bomben ?
Schadenssoftware Viren, Würmer, Trojanische
Pferde Aktive Komponenten (ActiveX, Java)
LfD Rheinland-Pfalz H. Eiermann
12
rlp-Netz
Pädagogisches Netz
Schulverwaltungsnetz
Webserver/Intranet-Server
Mailserver
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
13
rlp-Netz
Pädagogisches Netz
Schulverwaltungsnetz
Webserver/Intranet-Server
Mailserver
Router/Firewall
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
14
rlp-Netz
Pädagogisches Netz
Schulverwaltungsnetz
Webserver/Intranet-Server
Mailserver
Router/Firewall
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
15
rlp-Netz
Pädagogisches Netz
Schulverwaltungsnetz
Webserver/Intranet-Server
Mailserver
Router/Firewall
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
16
Firewall
LfD Rheinland-Pfalz H. Eiermann
17
Firewall
ipfwadm -F -f ipfwadm -F -p deny ipfwadm
-F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80
ipfwadm -F -a accept -P tcp -S 0/0 80 -D
172.16.1.0/24 ...
LfD Rheinland-Pfalz H. Eiermann
18
Sicherheitsmaßnahmen (Filterung nach
IP-Adressen, Ports, Diensten)
Netzwerkebene
LfD Rheinland-Pfalz H. Eiermann
19
Sicherheitsmaßnahmen (Applikationssicherheit,
Systemhärtung, Konfiguration)
Anwendungsebene
LfD Rheinland-Pfalz H. Eiermann
20
Pädagogisches Netz
Webserver/Intranet-Server
Router/Firewall
ipfwadm -F -a accept -P tcp -S ANY -D
172.16.1.0/24 -port 80
Router/Firewall
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
21
Online-Kontrollen des LfD Schwerpunkt
Internet-basierte Anwendungen Nutzung frei
verfügbarer Software für Analyse und Test
Nutzung frei verfügbarer Informationen
LfD Rheinland-Pfalz H. Eiermann
22
Tools
Brutus, WebCrack, wwwhack
Hydra
nikto
Manuelle Exploits (!)
LfD Rheinland-Pfalz H. Eiermann
23
Beispiele für Vorgehensweisen / festgestellte
Defizite
Beispiel 1 Directory Traversal
Beispiel 2 SQL-Injection
Beispiel 3 Wörterbuch-/BruteForce-Attacke
LfD Rheinland-Pfalz H. Eiermann
24
Beispiel 1 Directory Traversal Gemeinsames
Internet-Angebot mehrerer Bundesländer
Ausbrechen aus der vorgegebenen
Verzeichnisstruktur eines Webservers
Hintergrund Fehlerhafte Zugriffsrechte Hinweis
e im Seitenquelltext ratbare
Verzeichnisstruktur Probleme Unbefugter
Datenzugriff Manipulation
LfD Rheinland-Pfalz H. Eiermann
25
LfD Rheinland-Pfalz H. Eiermann
26
1. Quelltextanalyse
srchttp//f009.internet.shop.net/counter.jsgt
LfD Rheinland-Pfalz H. Eiermann
27
1. Quelltextanalyse
srchttp//f009.internet.shop.net/counter.jsgt
2. Browseraufruf http//f009.internet.shop.net .
.. erfolglos
LfD Rheinland-Pfalz H. Eiermann
28
1. Quelltextanalyse
srchttp//f009.internet.shop.net/counter.jsgt
2. Browseraufruf http//f009.internet.shop.net .
.. erfolglos
3. Browseraufruf http//internet.shop.net/f009
LfD Rheinland-Pfalz H. Eiermann
29
1. Quelltextanalyse
srchttp//f009.internet.shop.net/counter.jsgt
2. Browseraufruf http//f009.internet.shop.net .
.. erfolglos
3. Browseraufruf http//internet.shop.net/f009
https//internet.shop.net/f009
LfD Rheinland-Pfalz H. Eiermann
30
1. Quelltextanalyse
srchttp//f009.internet.shop.net/counter.jsgt
2. Browseraufruf http//f009.internet.shop.net .
.. erfolglos
3. Browseraufruf http//internet.shop.net/f009
https//internet.shop.net/f009
LfD Rheinland-Pfalz H. Eiermann
31
4. Browseraufruf https//internet.shop.net/f009/
logs/
/internet.shop.net/f009/logs/counter2.csv
LfD Rheinland-Pfalz H. Eiermann
32
4. Browseraufruf https//internet.shop.net/f009/
logs/
/internet.shop.net/f009/logs/counter2.csv
Datum/Uhrzeit
IP-Adresse des Nutzers
Zugangsknoten
URL
LfD Rheinland-Pfalz H. Eiermann
33
https//internet.shop.net/f002/logs/counter2.csv h
ttps//internet.shop.net/f003/logs/counter2.csv ht
tps//internet.shop.net/f004/logs/counter2.csv htt
ps//internet.shop.net/f005/logs/counter2.csv http
s//internet.shop.net/f006/logs/counter2.csv https
//internet.shop.net/f007/logs/counter2.csv https
//internet.shop.net/f008/logs/counter2.csv https/
/internet.shop.net/f009/logs/counter2.csv https//
internet.shop.net/f010/logs/counter2.csv https//i
nternet.shop.net/f011/logs/counter2.csv https//in
ternet.shop.net/f012/logs/counter2.csv https//int
ernet.shop.net/f013/logs/counter2.csv https//inte
rnet.shop.net/f014/logs/counter2.csv https//inter
net.shop.net/f015/logs/counter2.csv https//intern
et.shop.net/f016/logs/counter2.csv https//interne
t.shop.net/f017/logs/counter2.csv https//internet
.shop.net/f018/logs/counter2.csv https//internet.
shop.net/f019/logs/counter2.csv
34
Im Ergebnis konnten in 19 Fällen Zugriffsdaten
heruntergeladen werden. Das Gesamtvolumen der
Daten betrug ca. 300 MB (entspricht etwa 1.600
Druckseiten DIN A 4-Seiten).
Zeitaufwand insgesamt ca. 1 Std.
LfD Rheinland-Pfalz H. Eiermann
35
Vorbeugung Gestaltung des Web-Angebots
Reduzierung der Hinweise im Seitenquelltext
Anpassung der Zugriffsrechte, Konfiguration des
Webservers (Server-Root, Document-Root)
LfD Rheinland-Pfalz H. Eiermann
36
Beispiel 2 SQL-Injection Internet-basierte
Register-Anwendung Kompromittierung der
Web-Anwendung durch die Eingabe von
SQL-Anweisungen Hintergrund Web-Applikation
mit nachgeschalteter Datenbank Eingabefelder M
angelnde Prüfung von Benutzereingaben
Problem Umgehung der Authentifizierung Unbefugt
er Datenzugriff Datenveränderung
LfD Rheinland-Pfalz H. Eiermann
37
LfD Rheinland-Pfalz H. Eiermann
38
LfD Rheinland-Pfalz H. Eiermann
39
Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann
40
Web-Anwendung
rlpuser01
sE5Am
Dahinter stehende SQL-Anweisung select ... from
... where name rlpuser01 and passwd sE5Am
LfD Rheinland-Pfalz H. Eiermann
41
Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann
42
Web-Anwendung
Dahinter stehende SQL-Anweisung select ... from
... where name ... and passwd ...
LfD Rheinland-Pfalz H. Eiermann
43
Web-Anwendung
Dahinter stehende SQL-Anweisung select ... from
... where name ... and passwd ...
Benutzereingabe führt zu select ... from ...
where name4711 or 11--
LfD Rheinland-Pfalz H. Eiermann
44
Ergebnis
Anmeldung ohne gültige Benutzerkennung oder
Passwort war möglich
Zeitaufwand ca. 5 sec
LfD Rheinland-Pfalz H. Eiermann
45
Ergebnis
Anmeldung ohne gültige Benutzerkennung oder
Passwort war möglich
Zeitaufwand ca. 5 sec
Innerhalb der Anwendung sind bei fehlender
Prüfung der Benutzereingaben SQL-Anweisungen für
jeden angemeldeten Benutzer möglich.
LfD Rheinland-Pfalz H. Eiermann
46
Pädagogisches Netz
Schulverwaltungsnetz
Webserver/Intranet-Server
Mailserver
Router/Firewall
Router/Firewall
Datei-/Anwendungsserver
Datei-/Anwendungsserver
LfD Rheinland-PfalzH. Eiermann
47
Variationen ...
... 4711 or 11
LfD Rheinland-Pfalz H. Eiermann
48
Variationen ...
... 4711 or 11
... 4711 or 11 insert user ...
LfD Rheinland-Pfalz H. Eiermann
49
Variationen ...
... 4711 or 11
... 4711 or 11 insert user ...
... 4711 or 11 delete ...
LfD Rheinland-Pfalz H. Eiermann
50
Variationen ...
... 4711 or 11
... 4711 or 11 insert user ...
... 4711 or 11 delete ...
... 4711 or 11 drop table
LfD Rheinland-Pfalz H. Eiermann
51
Variationen ...
... 4711 or 11
... 4711 or 11 insert user ...
... 4711 or 11 delete ...
... 4711 or 11 drop table
... 4711 or 11 exec master.dbo.xp_cmdshell
cmd.exe dir c (MS SQL-Server, DB-User sa)
LfD Rheinland-Pfalz H. Eiermann
52
Canonicalization
4711 or 11
LfD Rheinland-Pfalz H. Eiermann
53
Canonicalization
4711 or 11
0x27
0x2747110x27or0x27110x27
0x270x340x370x310x310x270x200x640x720x20
0x270x310x3d0x310x27
LfD Rheinland-Pfalz H. Eiermann
54
Canonicalization
4711 or 11
0x27
0x2747110x27or0x27110x27
0x270x340x370x310x310x270x200x640x720x20
0x270x310x3d0x310x27
0x27 char(39)
char(39)char(52)char(55)char(49)char(49)char(
39)char(11)char(114) ..... MS-SQL
char(39,52,55,49,49,39,11,114 .....) MySQL
LfD Rheinland-Pfalz H. Eiermann
55
Vorbeugung Gestaltung der Anwendung / Sichere
Programmierung Verwendung vorgefertigter
Abfragen (Prepared Statements, Stored
Procedures) Filterung / Prüfung der
Benutzereingaben (Input Validation)
Konfiguration des Webservers
Datenbank-Konfiguration
All user input is evil!
LfD Rheinland-Pfalz H. Eiermann
56
Beispiel 3 Mailserver mit Internet-basiertem
Zugang (Outlook Web Access) Wörterbuch- /
Brute-Force-Attacke Automatisiertes
Ausprobieren möglicher Benutzerkennungen /
Passwörter Hintergrund HTTP Basic
Authentication Problem Aushebeln der
Authentifizierung Unbefugter Datenzugriff Date
nveränderung
LfD Rheinland-Pfalz H. Eiermann
57
LfD Rheinland-Pfalz H. Eiermann
58
Anmeldeaufforderung .HTACCESS
LfD Rheinland-Pfalz H. Eiermann
59
Tool-Unterstützung (wwwhack) ...
LfD Rheinland-Pfalz H. Eiermann
60
Tool-Unterstützung ...
... für die Kennung test mit beliebigem Passwort
LfD Rheinland-Pfalz H. Eiermann
61
Tool-Unterstützung ...
... für eine beliebige Kennung mit einem
beliebigem Passwort (Brute Force)
600.000 Versuche mit einem Protokollvolumen von
500 MB wurden nicht erkannt.
LfD Rheinland-Pfalz H. Eiermann
62
Tool-Unterstützung ...
... für vorgewählte Kennungen in einer Datei mit
einem beliebigem Passwort (Wörterbuchattacke)
z.B. admin administrator system sa nimda service
lvarp test ...
LfD Rheinland-Pfalz H. Eiermann
63
Ergebnis gültige Kombinationen Benutzerkennung
Passwort
27078lvarp 80610lvarp 80624lvarp 80670lvarp 80
683lvarp 90002lvarp 90004lvarp 90005lvarp 9000
7lvarp 90201lvarp 90202lvarp 90205lvarp 90302
lvarp 90505lvarp lvarplvarp testtest
Zeitaufwand insgesamt ca. 30 min
LfD Rheinland-Pfalz H. Eiermann
64
Zugriff auf Postfächer und Ablagestruktur
LfD Rheinland-Pfalz H. Eiermann
65
Versand von Mails unter der ermittelten
Kennung. gt Identitätsdiebstahl
LfD Rheinland-Pfalz H. Eiermann
66
Vorbeugung Passwortgestaltung und
-gebrauch Verlässliche Authentifizierung
Serverkonfiguration Gestaltung der Anwendung
Protokollierung / Auswertung
LfD Rheinland-Pfalz H. Eiermann
67
Sonstiges
Zugang zu Administrationsoberflächen via Internet
LfD Rheinland-Pfalz H. Eiermann
68
Browserzeile http//www.lva.rlp.de8080/cat/Silv
erStream/Pages/sachstand.html?az1-234-56/2005
... zugehöriges SQL-Statement SELECT ... FROM
... WHERE az
LfD Rheinland-Pfalz H. Eiermann
69
Browserzeile http//www.lva.rlp.de8080/cat/Silv
erStream/Pages/sachstand.html?az1-234-56/2005
... zugehöriges SQL-Statement SELECT ... FROM
... WHERE az
az6-543-21/2005
LfD Rheinland-Pfalz H. Eiermann
70
Erkenntnisse Alle Angriffe erfolgten auf
Anwendungsebene Vorkehrungen auf Netzebene
sind ohne Wirkung Schwachstellen resultieren
zum Teil aus Versäumnissen bei der
Anwendungsentwicklung (Konzeption,
Programmierung) Mögliche Risiken wurden nicht
thematisiert Kommunikationsdefizite
Verbundentwicklungen bieten nicht zwangsläufig
höheren Schutz Risikobetrachtung /
Sicherheitsuntersuchungen sind nicht erfolgt
Defizite bei der Überwachung sicherheitsrelevanter
Ereignisse Administrative Defizite
Arglosigkeit ...
LfD Rheinland-Pfalz H. Eiermann
71
122 Mio WebSites
LfD Rheinland-Pfalz H. Eiermann
72
... admin.asp, admin.js, admin.html
Ich finde Dich ... !
LfD Rheinland-Pfalz H. Eiermann
73
... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html
Ich finde Dich ... !
LfD Rheinland-Pfalz H. Eiermann
74
... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html
Ich finde Dich ... !
... anmeldung.asp, anmeldung.js, anmeldung.html
LfD Rheinland-Pfalz H. Eiermann
75
Konsequenzen Risikobetrachtung Sicherheit
als Aspekt der eGovernment-Tauglichkeit
Sicherheitskonzept / Evaluation Filterung der
Benutzereingaben (Input-Validation)
Überwachung sicherheitsrelevanter Ereignisse
Sichere Konfiguration der Anwendungsplattform
(Härtung) Sicherheitsbewusste Administration
(Betriebshandbuch) Sichere
Anwendungsentwicklung (Pflichtenheft
Anwendungssicherheit)
LfD Rheinland-Pfalz H. Eiermann
76
Verfahrenskomponenten
Anwendung
Server- / Plattform
Netzwerk
LfD Rheinland-Pfalz H. Eiermann
77
Verfahrenskomponenten
Sicherheitsmaßnahmen
Anwendung
Server- / Plattform
Administration, Konfiguration, Betrieb
Netzwerk
Netzstruktur, Firewall
LfD Rheinland-Pfalz H. Eiermann
78
Verfahrenskomponenten
Sicherheitsmaßnahmen
Anwendung
Entwicklung, Administration, Konfiguration
Server- / Plattform
Netzwerk
LfD Rheinland-Pfalz H. Eiermann
79
Quelle www.microsoft.com/germany/msdn/library/sec
urity/ Handbuch Erhöhen der Sicherheit von
Webanwendungen
LfD Rheinland-Pfalz H. Eiermann
80
Quelle www.bsi.de/literat/studien/websec/index.ht
m
LfD Rheinland-Pfalz H. Eiermann