In den vergangenen 4 Wochen habe ich – einmal wieder – verstärkt Zeit in (IT-)Sicherheitsschulungen und Worhshops, Sicherheitsmessen und auf Sicherheitswebseiten verbracht. Das Thema gewinnt mit der stärkeren Akzeptanz und Verbreitung des Mediums ‘Internet’ natürlich auch Zunehmend an Bedeutung. Immer noch. Es gibt ein umfangreiches Angebot an Kursen und Produkten, die sich der “Internet-Sicherheit” widmen. Nachdem ich mich selbst seit 1998 mit dem Thema auseinandersetze, möchte ich die Gedanken festhalten, die die jüngeren Erfahrungen ausgelöst haben.
Inhalte
Bei den Inhalten lässt sich deutlich ein Trend erkennen, dass sich Sicherheit vorrangig mit Web-Umgebungen auseinandersetzt. In Wahrheit ist das auch absolut notwendig, kaum eine Anwendung – im privaten wie im gewerblichen Umfeld – läuft mehr ohne einen Webbrowser. Es gibt sogar Produkte, die zwar so administriert werden, aber in Wahrheit einfach Ihren Webserver selbst mitbringen und auf einer Desktop-Umgebung installieren. So verschwinden sogar die Grenzen zwischen Web-Server und Web-Client. Sogar Administrationsoberflächen für Appliances – die so zwangsläufig Remote sind – habe ich über einen lokalen Webserver administriert werden sehen.
Herkömmliche Themen der Sicherheit werden zwar angesprochen, aber VPN, Cryptography, Paketfilter und Deep-Paket-Inspektion, Anti-Spam, Anti-Virus, Intrusion-Detection sind zwar nicht verschwunden, aber bekommen gegenwärtig kaum Aufmerksamkeit. Demzufolge werden auch vorrangig Web-Tools behandelt.
Techniken, die besprochen werden, sind Directory Traversal, SQL Injection, Javascript Injection bzw. Cross Site Scripting, Cross Site Request Forgery usw.
Werkzeuge, die zum Zweck des Tests Ihren Einsatz finden, sind freie Tools, darunter zu nennen: Wikto, Nikto, Goolag, gpscan.rb, sqlmap(.py), Paros, Jetty, Grendel Scan, SQL Inject Me (Firefox Plugin), W3af, Web Securify, Skipfish. In diesem Umfeld gibt es natürlich auch kommerzielle Angebote, die nicht unerwähnt bleiben. So ist in den letzten Tagen FoundStone SiteDigger und Maltego aufgetaucht.
Die Tatsache, dass die Techniken wie auch die Tools teilweilse mehrer Jahre alt sind, hinterlässt den Eindruck, dass:
a) Die Thematik extrem komplex ist und nur schwer in den Griff zu bekommen.
b) Die Thematik gut erforscht ist und kaum neue, grundlegende Probleme bekannt werden.
c) Es zwar automatisierte Tools zur Analyse wie auch zum Schutz gibt. Trotzdem ist Sorgfalt geboten und das Bewusstseit bei Entwicklern wie Verantwortlichen notwendig.
Gerade der letzte Gedanke fordert geradezu heraus, Bruce Schneier von 1999 zu zitieren: “Security Is Not a Product; It’s a Process”
Disclaimer
Ich arbeite bei einem Internet-Dienstleister, der auf Web-Angebote fokussiert ist.