Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: OWASP 2017 – Änderungen, Chancen und Risiken, Anwendung

Die OWASP (Open Web Application Security Project) ist eine gemeinnützige Stiftung mit Sitz in den USA. Die OWASP Europe ist ein gemeinnütziger eingetragener Verein mit Sitz in Belgien. Das Open Web Application Security Project ist eine offene Community, an der Firmen, Bildungseinrichtungen und Einzelpersonen sich international beteiligen können. Dabei steht das OWASP nicht mit Technologiefirmen in Verbindung, um unvoreingenommene und praxisnahe Informationen über die Applikationssicherheit bereitstellen zu können. OWASP hat sich zum Ziel gesetzt, die Anwendungssicherheit bei Webapplikationen nachhaltig zu erhöhen und wird weltweit von vielen freiwilligen Experten aus der InfoSec-Community unterstützt und vorangetrieben. Warum wird dieser Organisation heutzutage Aufmerksamkeit geschenkt? Webapplikationen sind aus unserem Alltag nicht mehr wegzudenken. Online-Banking, Online-Shopping, Social-Media (Twitter, Facebook, Instagram, What’s App etc.), E-Mails und vieles mehr nutzen wir tagtäglich – all diese Anwendungszwecke gelten als selbstverständlich und werden im Hintergrund durch Webanwendungen realisiert. Und überall hinterlassen wir vertrauliche und schützenswerte Daten… Ein Beispiel für die intensive Benutzung von Webapplikationen ist die aktuelle Facebook- Statistik. Gemäss dieser Statistik hat der Konzern mehr als 2 Mrd. aktive Nutzer weltweit … 1,23 Mrd. Menschen benutzen Facebook täglich … pro Tag werden dabei 5 Mrd. Inhalte geteilt, 4.5 Mrd. „Likes“ verteilt und 10 Mrd. Nachrichten verschickt … jeder Facebook-Nutzer hat im Schnitt 350 Freunde … Die Weltbevölkerung verbringt im Monat zusammen ca. 700 Mrd. Minuten auf Facebook. Programmierfehler in Webapplikationen können schwerwiegende Folgen für den Betreiber und dessen Kunden haben. Immer wieder wird über schwere Sicherheitslücken in den Medien berichtet, durch die oft Millionen von Datensätzen, wie Kreditkarten- und Zugangsdaten, erbeutet werden konnten. Noch viel öfter werden Daten auch im kleinen Stil erbeutet, ohne dass darüber berichtet wird oder es überhaupt irgendjemand mitbekommen hat. Obwohl viele Sicherheitsrisiken längst bekannt sind und meist mit einfachsten Mitteln schnell verhindert werden könnten, sind es doch immer wieder dieselben Lücken, die die Anwendung angreifbar machen. Durch die zunehmende Komplexität der Webapplikationen wächst auch der Aufwand für die Anwendungssicherheit. Das Open Web Application Security Project (OWASP) liefert eine Top 10 Liste der am häufigsten auftretenden Sicherheitsrisiken im World Wide Web. Die erste Version wurde 2003 veröffentlicht. Seitdem gab es einige Updates, wobei sich die grössten Sicherheitsrisiken kaum geändert haben. Die aktuelle Liste basiert auf Datenerhebungen verschiedener Beratungsunternehmen und Softwareanbieter. Diese Daten umfassen mehr als 500’000 Schwachstellen in Hunderten von Unternehmen und Tausenden von Anwendungen. Die Gewichtung ergibt sich im Wesentlichen aus der Häufigkeit des Auftretens einer Schwachstelle und den Auswirkungen auf die Technik und die Geschäftsprozesse des Unternehmens. Ziel des Projektes ist es, Geschäftsführer, Manager, Prüfer und Entwickler für die Sicherheit der Webapplikationen zu sensibilisieren und den Einstieg in dieses Thema zu erleichtern. Entwicklern werden Lösungen, Tipps und Tools zum Vermeiden der Schwachstellen an die Hand gegeben. Chancen:  Als Chance wird eine günstige Gelegenheit oder ein Glücksfall bezeichnet, aber auch die Aussicht, bei jemandem durch Sympathie Erfolg zu haben. In der Statistik ist das Wort ein Synonym für die Wahrscheinlichkeit, mit der ein günstiges Ereignis eintritt. Dies sind auch die Top 10 der OWASP für die Webentwickler. Erstmals seit vier Jahren liegt wieder ein neuer Release Candidate für die OWASP Top 10 vor. Das Open Web Application Security Project (OWASP) veröffentlichte zuletzt im Jahr 2013 die Top 10 der wichtigsten Sicherheitsrisiken für Webapplikationen. Anwendung: Wozu kann man die Top10 der OWASP benutzen? Diese Top 10 der wichtigsten Sicherheitsrisiken in Webanwendungen werden von Organisationen, Unternehmen und IT-Sicherheits-Spezialisten zur Beratung oder innerhalb von Penetrationstests im Bereich Web herangezogen. Die OWASP Top 10 kann man insoweit als Best Practice für den Bereich Websicherheit ansehen, die in der Fachwelt grossen Zuspruch bekommen. Risiken:  Haben sich die Risiken über die Jahre verändert? Im neuen Entwurf werden die Risiken aus dem Jahr 2013 grösstenteils übernommen, so bleiben verschiedene Arten von Injektionen (SQL Injection, XXE etc.), Schwächen in der Authentifizierung und dem Session Management und Cross-Site-Scripting (XSS) unverändert auf Platz 3 der Top 10. Das ist naheliegend, schliesslich sorgen diese Sicherheitslücken seit fast zwei Dekaden für die größten Probleme und Datenskandale im Web. Das Vorgehen hinter SQL Injections wurde beispielsweise im Jahr 1998, also vor fast 20 Jahren, erstmals diskutiert. Lösungen dazu, etwa Prepared Statements, sind ebenfalls seit Jahren bekannt – trotzdem kommt es immer wieder zu massiven Problemen mit dieser Art von Sicherheitslücke. Unter den Betroffenen finden sich nicht nur kleine oder private Anbieter, sondern auch bedeutende, etwa Cisco mit seiner E-Mail Security Appliance, Drupal mit Lücken innerhalb des bekannten CMS. 2011 war ironischerweise sogar MySQL.com, die Entwicklerwebseite des weit verbreiteten Datenbanksystems MySQL, selbst betroffen. Im Entwurf wird vorgeschlagen, offene beziehungsweise nicht validierte Weiterleitungen nicht mehr in die Top 10 aufzunehmen, was wohl auf wenig Widerstand in der Community treffen wird, da dieses Sicherheitsrisiko keine grosse Relevanz für die meisten Applikationen besitzt. Als neue Sicherheitsrisiken werden aktuell ungeschützte API-Schnittstellen und die fehlende Einrichtung von Sicherheitsmechanismen gegen automatisierte Angriffe diskutiert. Die Diskussion um fehlende Absicherungen von API-Schnittstellen ist in Zeiten von Cross-Plattform-Programmierung, Devops und agilem Projektmanagement sinnvoll und geboten. Ende vergangenen Jahres wurden beispielsweise gravierende Lücken in diesem Bereich beim Fintech-Startup N26 aufgedeckt. Mit der möglichen Aufnahme fehlender Schutzmassnahmen vor Angriffen nimmt OWASP eine spannende Diskussion auf. Dürfen Webapplikationen demnächst nur noch als sicher gelten, wenn man sie mit WAFs (Web Application Firewalls) zusätzlich schützt? Und geht dadurch nicht der Fokus auf die eigentliche Sicherheit im Code verloren? Schliesslich ist es schwierig, eigene Lösungen im Bereich der Incident Detection oder Incident Response  durch selbst programmierte Systeme umzusetzen. Einige Webentwickler und Unternehmen ziehen es offenbar vor, Sicherheitslücken virtuell wegzupatchen, anstatt Lücken im Quellcode zu schliessen. Das bedeutet, dass sie lieber Systeme wie WAFs einsetzen, die ankommende Anfragen auf auffällige Muster untersuchen und damit die Ausnutzung einer Sicherheitslücke verhindern, anstatt den Code selbst zu verändern. WAFs sind jedoch auch nicht immer sicher. So kann es zu False Positives kommen, die erheblichen Einfluss auf die Funktionsfähigkeit von Webapplikationen haben können. Grundsätzlich bringen solche Systeme also, ähnlich wie bei Antivirensoftware, neue Sicherheitsrisiken mit sich. Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, bleibt abzuwarten. Die letzte Änderung an den OWASP Top 10, die im Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen. OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch grosse Änderungen bei den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase war auf den 30. Juni 2017 datiert. Anschließend wurden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen. Mein Fazit: Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, die ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei grossen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind – so bleibt das Web zunächst weiterhin eines: unsicher.  

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.