Workshops und Vorträge zur IT-Sicherheit

IPC Countdown: Beware of the dark Side, Luke – Arne Blankerts setzt die Hacker-Maske auf
Kommentare

„Die meisten Sicherheits-lücken sind erschreckend offensichtlich.“ Arne Blankerts spricht auf der IPC 2012 unter anderem über Sicherheit und Deployment.

Im Vorfeld zur International PHP Conference (IPC) führen wir mit Sprechern und Workshop-Leitern Interviews, die uns einen kleinen Einblick in das spannende Themenspektrum der Konferenz geben. Unser erstes Gespräch hatten wir mit Arne Blankerts, der seinen Workshop „PHP Security Roundup: Beware of the dark Side, Luke!“ und weitere Themen vorstellt.

PHPmagazin: In Ihrem IPC Workshop betreten Sie mit den Teilnehmern die dunkle Seite der Macht und schauen sich Anwendungen aus der Perspektive des angreifenden Hackers an. Welche Erkenntnisse kann dieser Seitenwechsel hervorbringen?

Arne Blankerts: Primär natürlich Verständnis. Verständnis, wie Angreifer arbeiten und warum selbst vermeintlich kleine Fehler gnadenlos ausgenutzt werden.

Natürlich hoffe ich auch, den Teilnehmern verdeutlichen zu können, dass es die Angreifer eben nicht mal zwingend auf sie persönlich abgesehen haben – sondern man im Zweifel ein Zufallsopfer werden kann. Mit all den nervigen und gegebenenfalls teuren Folgen.

PHPmagazin: Was sind gängige Sicherheitslücken, denen sich Hacker auch ohne Zugriff auf den Quellcode einer Anwendung bedienen können?

Blankerts: Die meisten Sicherheitslücken sind erschreckend offensichtlich. Ein Zugriff auf den Sourcecode würde im Zweifel nur die Zeit verkürzen, bis man die Lücke gefunden und einen passenden Exploit programmiert hat. Die Fehler reichen daher von klassischem XSS über CSRF – mit und ohne Ajax – oder auch SQL-Injection, bis zu Angriffen auf die Session, deren ID und – relativ neu mit einem Namen versehen – dem Puzzling.

PHPmagazin: Welche Tools können dabei helfen, Sicherheitsprobleme in Anwendungen aufzuspüren und bestenfalls sogar zu beheben?

Blankerts: Kein Tool kann Sicherheitsprobleme beheben. Mit etwas Glück kann es lediglich die Ausnutzbarkeit reduzieren oder gar verhindern. Im PHP-Umfeld wird dies wohl vor allem die Suhosin-Erweiterung bzw. der dazugehörige Patch von Stefan Esser sein, selbst wenn dieser Patch nicht ganz unumstritten sein mag. Von allgemeinen automatisierten Source-Code Scannern halte ich im Security Context wenig, PHP ist aufgrund seiner dynamic kaum statisch auf Sicherheit zu analysieren. Aber natürlich kann man mit Scannern auch aktiv versuchen, Fehler zu erzwingen und das Verhalten der Anwendung auswerten. Diese Tools könnten praktisch sein, ihr Einsatz ist in Deutschland laut aktueller Gesetzeslage – Stichwort Hacker-Paragraph – juristisch mal nicht ganz ungefährlich.

PHPmagazin: Sicherheit ist ja ein Dauerbrenner und quasi ein stetiger Kampf zwischen Hacker und Security-Experten. Wie können PHP-Entwickler sich in Sachen Sicherheit auf dem aktuellen Stand halten, abseits der regelmäßigen Updates?

Blankerts: Wenn man sich die Liste der TOP Security Fehler, beispielsweise die OWASP Top 10, ansieht, wird man merken, dass sich erschreckend wenig ändert: Lediglich die Reihenfolge, welcher Fehler häufiger angetroffen wird, wechselt. Ich glaube, speziell im PHP Umfeld fehlt es häufig einfach nur am Bewusstsein, was eigentlich möglich ist und wie Angreifer eine Webseite und die dahinter stehende Infrastruktur sehen. Daher auch der Seitenwechsel im Workshop.

PHPmagazin: Eine weitere Ihrer Sessions auf der IPC trägt den Namen: Deployment == Annoyment? Was raten Sie, damit das Deployment eben nicht zum Ärgernis wird?

Blankerts: Meine Session zu besuchen? Aber im Ernst: Im Grunde geht es darum, Deployments richtig zu planen und sich passende Workflows zu überlegen, die beim Unternehmen bzw. beim Projekt praktikabel einsetzbar sind. Es gibt Erfahrungen, an welchen Tagen zum Beispiel ein Deployment sinnvoll ist und wann eher gefährlich. Ein Tipp: Am Abend bevor man für mehrere Tage zu einer Konferenz aufbricht, wäre ein schlechter. Auch das Wie ist natürlich eine Frage, der man nachgehen sollte: Der klassische, händische FTP-Upload hat im professionellen Umfeld nichts verloren.

Arne Blankerts löst IT-Probleme, lange bevor viele Firmen überhaupt merken, dass sie sie haben. IT-Security ist seine Passion, der er sich mit fast magischer Intuition und Lösungen widmet, die unverkennbar seine Handschrift tragen. Weltweit vertrauen Unternehmen auf sein Site-System und seine UNIX-basierten Systemarchitekturen.

Sein Workshop auf der heißt „PHP Security Roundup: Beware of the dark Side, Luke!“. Es befasst sich mit dem Hacking frisch deployter Websites, deren Sourcecode den Angreifern noch verschlossen ist. Im halbtägigen Workshop versetzen sich die Teilnehmer in die Rolle der Angreifer und testen in einer Sandbox, wie leicht Angriffe ohne Code-Kenntnis möglich sind.

Zusätzlich zu dem Workshop bietet Arne Blankerts auch zwei Sessions an.

Die erste seiner Sessions heißt „What to look for when performing Security Audits“ und erläutert, wie man umfangreiche Sicherheitsprüfungen durchführen kann. Viele Werkzeuge helfen bei manuellen Tests, die nötig sind, da auf Scanner und automatisierte Tools kein Verlass ist.

Bei der zweiten Session „Deployment == Annoyment?“ zeigt Blankerts seinen Zuhörern, wie man das Paket-Management-System des Betriebssystems für sein Deployment richtig einsetzt.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -