Secure by Design: CISA und FBI wollen SQL-Injections den Garaus machen
Im Rahmen der "Secure by Design"-Kampagne geben CISA und FBI Hinweise, wie Entwickler SQL-Injection-Lücken vermeiden können.
Die US-amerikanische Cybersicherheitsbehörde CISA hat zusammen mit dem Federal Bureau of Investigation (FBI) ein neues Handout für Softwarehersteller herausgegeben. Im Rahmen der Kampagne "Secure by Design" rufen die Behörden darin in Erinnerung, dass SQL-Injection-Sicherheitslücken eine häufig angegriffene Schwachstellenart sind, und geben Tipps, wie sie sich vermeiden lassen.
In dem "Secure by Design Alert" erörtert die CISA, dass Schwachstellen in Moveit Transfer, die tausende Organisationen betroffen haben, die Handreichung "Beseitigung von SQL-Injection-Schwachstellen in Software" veranlasst habe. Außerdem will die CISA ein Schlaglicht darauf werfen, wie verbreitet diese Art an Lücken ist.
SQL-Injections: Seit zwei Jahrzehnten dokumentiert
Trotz des weitverbreiteten Wissens und der Dokumentation von SQL-Injection-Schwachstellen über die vergangen zwei Dekaden und der Verfügbarkeit von effizienten Möglichkeiten, sie zu vermeiden, stellten Softwarehersteller weiter Produkte mit diesem Defekt her. Sie setzten viele Kunden damit einem unnötigen Risiko aus. Die MITRE Corporation habe bereits 2007 SQL-Injections zu den nicht vergebbaren Schwachstellen gezählt. Dennoch sind SQL-Lücken eine weit verbreitete Art von Sicherheitslecks.
In dem PDF-Handout erläutern die Sicherheitsbehörden, was SQL-Lücken sind und wie sie sich vermeiden lassen. MySQL hat 2004 etwa "Prepared Statements" eingeführt, die SQL-Injection-Schwachstellen verhindern können. Bei der Entwicklung sollten Programmierer daher etwa auf parametrisierte Abfragen mit Prepared Statements setzen, um SQL-Code von nutzerübergebenen Daten zu trennen. Einige Entwickler versuchten, mit Eingabefilterung (Input sanitization) SQL-Injections zu verhindern, das sei jedoch frickelig, schwierig auf großer Skala umzusetzen und lasse sich oftmals umgehen.
Weitere Hinweise gehen in die Richtung, dass Manager der Softwarehersteller Verantwortung für die Sicherheit ihrer Kunden übernehmen, etwa durch formale Code-Reviews. Zudem sollten Hersteller transparent bei der Veröffentlichung von Informationen zu Sicherheitslücken in ihrer Software sein und etwa CVE-Einträge erstellen. Schließlich sollte die Organisationsstruktur mit dieser Zielsetzung umgebaut werden.
Secure-by-Design ist eine Kampagne, die die CISA zusammen mit anderen internationalen Partnerbehörden seit vergangenem Jahr mit Leben füllt. Es gibt grundlegende Handreichungen, wie in der Softwareentwicklung durch das Prinzip "Secure by Design" in allen Prozessen Sicherheitslücken vermieden werden können. Neben einem PDF-Handbuch gegen Phishing gibt es auch Hinweise, dass Standard-Passwörter inakzeptabel und die Wurzel vieles Übels seien.
(dmk)