Carsten Eilers Freelancer

„Bisher sieht das, was die Forscher entdeckt haben, nicht allzu schlimm aus. Es sind aber die altbekannten Schwachstellen, die uns noch immer Kopfschmerzen bereiten sollten.“

Sie denken, im Bereich der Websecurity wurden längst alle möglichen Schwachstellenarten und Angriffe entdeckt, und es gibt nichts Neues mehr zu entdecken? Dann haben Sie die Rechnung ohne Sicherheitsforscher gemacht!

Dem kann ich nur ein „Zum Glück“ hinzufügen. Denn Sicherheitsforscher veröffentlichen ihre Forschungsergebnisse, sodass Sie zumindest eine Chance haben, ihre Webanwendungen abzusichern, bevor es die ersten Angriffe „in the wild“ gibt. Die Cyberkriminellen wären nicht so rücksichtsvoll, die würden sofort zuschlagen.

Zum Glück (zum zweiten Mal) haben die zumindest bisher kein besonderes Interesse am Erforschen neuer Angriffe gezeigt. Wieso auch, wenn sie doch mit Angriffen auf die bekannten Schwachstellen auch ans Ziel kommen? Solange die Webentwickler weiter Fehler machen, durch die die altbekannten Schwachstellen entstehen, gibt es für die Cyberkriminellen keinen Grund, nach neuen Möglichkeiten für Angriffe zu forschen. Und weil es viele Admins mit der Installation sicherheitsrelevanter Updates nicht besonders eilig haben, müssen die Cyberkriminellen oft nicht mal nach neuen Schwachstellen suchen, sondern können alte, eigentlich längst behobene aber auf dem angegriffenen Server nicht gepatchte Schwachstellen ausnutzen.

Aber gucken wir mal, was die Sicherheitsforscher in letzter Zeit Neues entdeckt haben.

Rechner oder Mensch, das ist hier die Frage!

Oft steht der Betreiber einer Webanwendung vor dem Problem, Zugriffe von Benutzern von denen durch Bots oder anderen Tools zu unterscheiden. Wobei erschwerend hinzukommt, dass bei Bots meist noch zwischen den bösartigen Bots der Cyberkriminellen und den gutartigen Bots wie zum Beispiel den Crawlern der Suchmaschinen unterschieden werden muss.

Um automatisierte Angriffe zu erschweren, setzt man gerne auf CAPTCHAs. Sofern es nur darum geht, den Spamschutz eines Blogs auszuhebeln oder haufenweise Accounts bei Freemail-Providern oder Social Networks anzulegen, setzen die Cyberkriminellen zu deren Lösung oft auf simple Man-Power. Es gibt Anbieter, die CAPTCHAs für ein sehr geringes Entgelt pro gelösten CAPTCHA von Menschen lösen lassen. Dagegen ist natürlich keine Gegenwehr möglich, die CAPTCHAs sollen ja von Menschen gelöst werden können und funktionieren in diesem Fall genau wie vorgesehen.

Für Brute-Force-Angriffe und Ähnliches eignet sich dieser Ansatz natürlich nicht, außerdem ist ein Rechner immer billiger als jeder noch so günstige dieser „Wir lösen ihr CAPTCHA für sie“-Anbieter. Deshalb gibt es immer wieder erfolgreiche Versuche, CAPTCHA-Systeme von Algorithmen brechen zu lassen. Was dann im Allgemeinen dazu führt, dass CAPTCHAs noch schwerer lösbar gemacht werden, was aber oft genug die Menschen mehr stört als die Algorithmen.

Den vollständigen Artikel lesen Sie in der Ausgabe:

PHP Magazin 5.16 - "Lizenz zum Coden"

Auf den einschlägigen Security-Konferenzen gab es eigentlich kaum Neues. Dennoch lohnt es sich, auch einen Blick auf (vermeintlich) altbekanntes zu werfen!

Alle Infos zum Heft
252647Websecurity in der Forschung
X
- Gib Deinen Standort ein -
- or -