Die 19 Todsünden der Software-Security

von Lothar Lochmaier am , 10:46 Uhr

Aus Sicht des Experten werden vor allem Insider-Risiken kaum verstanden, die Auswirkungen wie Man-in-the-Middle-Attacken oder Passwortcracking-Technologien nach sich ziehen können. Auch die Risikomanager hätten kaum ein wirkliches Gespür für die tatsächlich existenten Risiken. Gerade der laxe Umgang mit SSL zeige die gravierenden Defizite der Unternehmen am besten. „Oft sieht es so aus, als ob die SSL-Verschlüsselung arbeitet, sie tut es aber nicht wirklich“, sagt Viega.

Die 19 Todsünden im Überblick
Pufferüberläufe
Format-String-Probleme
Integer-Range-Probleme
SQL-Injection
Command-Injection
Fehlerhaftes Error-Handling
Cross-Site-Scripting
Kein Schutz des Netzwerkverkehrs
Magic-URLs und versteckte Formulare
Fehlerhafte Nutzung von SSL
Nutzung von schwachen, passwortbasierten Systemen
Unsichere Speicherung von Daten
„Hardcoden“ von Geheimnissen
Fehlerhafter Dateizugriff
Das Trauen von Netzwerkadressen- Informationen
Race Conditions (Wettlaufsituationen)
Unauthentifizierter Schlüsselaustausch
Non-Random Benutzer
Schlechte Bedienbarkeit

Letztlich invalide und wertlose Zertifikate schaffen also eher neue Problemfelder, so die Kritik: „Verisigns Zertifikate bringen viel Geld, aber wenig Security-Nutzen.“ Viega spart auch die Anbieter von Sicherheitssoftware nicht von der Kritik aus. Diese könnten bei nicht adäquater Anwendung von SSL auch keine wirksame Unterstützung leisten. Sein neuer Job bei McAfee bietet für den Spezialisten sicherlich genügend Angriffspunkte.

Stark gefordert ist auch die Zunft der Entwickler. Und gerade diese fordert Viega auf, von ihrer Detailverliebtheit, etwa mit einer schnörkellosen Implementierung von SSL, Abstand zu nehmen und sich auf das Wesentliche zu konzentrieren. Garantien, dass der Nutzer tatsächlich via Verschlüsselung kommuniziere, gäbe es definitiv keine. „Nicht der Server, sondern der unsichtbare Dritte vertauscht und gibt sein Zertifikat stattdessen aus.“

Abhilfe können nach Auffassung John Viegas umfassende Testprozeduren für SSL auf Basis von HTTPS schaffen. Noch eine andere wichtige Baustelle macht der Experte aus: Ein erfolgreicher Buffer-Overflow auf Basis von C/C++ habe gravierende Konsequenzen, wenn etwa der Angreifer über Java-Programme von außen die Kontrolle über die Maschine bekäme. Mit Hilfe der SQL-Injection könne der Hacker zudem nicht nur die Daten sehen, sondern auch den Zugang kontrollieren.

Inhalt

Themenseiten: IT-Business, Security-Analysen, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Die 19 Todsünden der Software-Security

Kommentar hinzufügen
  • Am 3. Mai 2006 um 6:19 von iNsuRRecTiON

    IT-Sicherheit und Fraunhofer !=seriös ! :(
    "Wer Klarheit über die Qualität seiner Software haben möchte, kann sie im Testlabor IT-Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie (www.sit.fraunhofer.de) bekommen. Die Experten untersuchen herstellerneutral und produktunabhängig Entwürfe, Prototypen und Produkte in allen Entwicklungsstadien auf Sicherheitslücken."

    Hey,

    dem würde ich allerdings nicht vertrauen, denn diese haben mit ihrem Sicherheitstests für Verschlüsselungssoftware, welche sogar als Referenz angegeben ist, sich einen groben Fehler geleistet und sich bis heute weder dazu geäußert noch irgendetwas zugegeben..!

    Um genauer zu werden ging es um die Full Volume bzw. Komplettverschlüsselungsoftware CompuSec von ce-infosys. (http://www.ce-infosys.com )

    Diese wird als Freeware angeboten und verschlüsselt die komplette Festplatte inklusive dem Betriebssystem und Auslagerungsdatei, etc.

    Angeblich sollte/soll diese Software den Masterkey, laut der Fraunhofer Analyse bzw. Ergebnis, frei im Klartext lesbar in der Registry ablegen..

    Was jedoch überhaupt nicht der Wahrheit entspricht.
    Es wird lediglich ein Hash dort abgelegt, welcher aber weder im Klartext lesbar ist noch Rückschlüsse auf den Masterkey für die Verschlüssel- bzw. Entschlüsselung zulässt!

    Da sieht man die "Qualität" der Fraunhofer Analyse..

    Wer sich trotzdem auf sowas unseriöses verlassen möchte, der hat es nicht anders verdient..!

    MfG
    CYA

    iNsuRRecTiON

    Antworten
    • Am 28. Juli 2006 um 21:55 von Gulliver

      AW: IT-Sicherheit und Fraunhofer !=seriös ! :(
      Stehst Du auf deren Gehaltsliste? Wir konnten die entsprechenden PWs jedenfalls im KLARTEXT auslesen (nix Hash!).
      Soviel dazu…

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *