OWASP-Konferenz: Web-Hacking und Abwehr

Die "AppSec EU 2009"-Konferenz des Open Web Application Security Project am 13. und 14. Mai setzte sich unter anderem mit "Malware im Browser" und "Werkzeugen zur Softwaresicherheit" auseinander.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 3 Min.
Von
  • Alexander Neumann

Das Open Web Application Security Project (OWASP) ist eine offene Community, die sich auf die Fahnen geschrieben hat, die Sicherheit von Software zu verbessern. Im jährlichen Turnus finden auf unterschiedlichen Kontinenten die AppSec-Konferenzen statt, auf denen die Teilnehmer aktuelle Themen zur sicheren Softwareentwicklung diskutieren. Dieses Jahr gab es am 13. und 14. Mai auf der AppSec EU 2009-Konferenz in Krakau unter anderem die Schwerpunkte: "Malware im Browser" und "Werkzeuge zur Softwaresicherheit".

Entwickler und Sicherheitsexperten aus dem Online-Banking-Bereich bekamen zwei interessante Vorträge präsentiert: Giorgio Fedon vom OWASP-Anti-Malware-Projekt berichtete über "The Bank in the Browser". Das Projekt hat das Ziel, für Aufklärung darüber zu sorgen, was gegenwärtig Malware zu leisten vermag und was man gegen diese tun kann. "State of the art" ist, mit sogenannten "Man in the Browser"-Techniken (MITB) die Benutzeroberfläche zu modifizieren und Credentials abzugreifen. Mausklicks oder visuelle Sicherheitsfeatures spielen keine Rolle, da auch Screenshots in der Drop-Zone zur Datensicherung landen. Für unterschiedliche Bankportale gibt es spezifische Schablonen auf dem schwarzen Markt für die "Ergänzung" der Oberfläche mit HTML und/oder JavaScript sowie Browser-APIs. Remote-Updates der Spyware inklusive. Ergänzend lässt sich Malware durch Rootkits wie Mebroot verstecken.

Gunter Ollmann vom IT-Security-Dienstleister Damballa ergänzte das mit Ergebnissen zu Backend-Tools. Die Werkzeuge für die Massen-Exploits von Webseiten, die mittels Drive-by-Downloads die Malware auf die Rechner beziehungsweise in die Browser bringen, sind hochausgereift und meistens besser als alle Audit-Tools zum Penetration-Testing auf dem regulären Markt. Einige Werkzeuge zur Botnets-Steuerung wie Turkojan bieten gar 24/7-Support per E-Mail oder Instant Messaging an.

Beide Sprecher empfahlen die Verwendung von TANs (nicht überall auf der Welt üblich). Out-of-band-Methoden (SMS, OTP, Tokens) wären zurzeit noch eine passable, wenn auch überwindbare Abwehrmaßnahme.

Zum zweiten Themenkomplex "Werkzeuge zur Softwaresicherheit": Viele der vorgestellten Werkzeuge sind OWASP-Projekte, alle unter einer Open-Source-Lizenz. w3af ist zurzeit das Open-Source-Tool der Wahl, um halbautomatisierte "Blackbox Web-Vulnerability Assessments" vorzunehmen. Das in Python geschriebene Tool – zur AppSec blieb es leider noch beim Release Candidate 2 1.0 – ist im Laufe von drei Jahren zumeist in Einzelarbeit durch Andrés Riancho entstanden. Er rief zur Mitarbeit auf, eine Baustelle sind die Abhängigkeiten von diversen Python-Bibliotheken.

Beifall fand Bernardo Dameles Vorstellung von sqlmap. Dieses Werkzeug kann wie w3af Metasploit einbinden. Leider unterstützt sqlmap immer noch nicht Oracle – und MySQL nur unter Windows; bei den Programmiersprachen fehlt Java. Rechtzeitig vor der AppSec hat sqlmap ins Debian-SID-Repositiory Einzug gehalten.

Neu sind zwei Werkzeuge zum Fingerprinting (wafw00f) und Bypass-Testen von WAFs (waffun). Ersteres unterstützt laut Co-Autor Wendel Guglielmetti Henrique immerhin 20 verschiedene Produkte. Beide Tools sind zurzeit nur im SVN von Google zu finden. Es stellt sich natürlich die Frage, ob die Hersteller von WAFs bald ihre Signaturen verändern. (Dr. Dirk Wetter) (ane)