Security

Webanwendungen als Angriffsziel
Kommentare

Zurzeit gibt es eine 0-Day-Schwachstelle in vBulletin. Oder auch nicht. Die Wahrheit werden wir vielleicht erst in ein paar Tagen erfahren, oder auch nie. Hier soll es um etwas anderes gehen, denn mir wurde im Zusammenhang mit dem möglichen 0-Day-Exploit für vBulletin eine interessante Frage gestellt:

„Gibt es eine magische Grenze, ab wann ein Software-Projekt so attraktiv für Hacker wird, dass man Kunden davon abraten sollte?“

Immerhin ist vBulletin nicht das einzige große Projekt im Visier der Angreifer, auch zum Beispiel WordPress ist nicht nur bei Benutzern, sondern auch bei Angreifern beliebt.

Um die Frage beantworten zu können, müssen wir erst mal klären, was die Angreifer wollen. Denn da gibt es durchaus Unterschiede:

Angreifer, die Schadcode verbreiten wollen

Manche Cyberkriminelle kompromittieren Server, um sie für Drive-by-Infektionen zu präparieren, das eigentliche Ziel sind dabei die Rechner der Benutzer der Webanwendung. Die Webanwendung interessiert sie nicht weiter, ihnen geht es nur darum, ihren Schadcode an möglichst viele Benutzer zu verteilen.

ASP.NET-basierte Webanwendungen leiden immer wieder unter blinden Massenangriffen per SQL-Injection: Die Angreifer probieren einen SQL-Injection-Exploit blind an allen Webanwendungen und für alle Parameter aus, die ihnen vor die virtuelle Flinte kommen. Wenn der Exploit erfolgreich ist, ist die Website danach für eine Drive-by-Infektion präpariert, wenn nicht ist es auch egal, es gibt genug Anwendungen bei denen der Angriff gelingt.

Diesem Typ Angreifer kommt eine Schwachstelle in einer weit verbreiteten Anwendung natürlich sehr gelegen. Er kann dann über Google alle potentiell angreifbaren Anwendungen suchen und diese über einen einheitlichen Exploit für seine Zwecke präparieren. Schwachstellen in wenig verbreiteten Anwendungen sind für diese Angreifer erst Mal weniger interessant, sofern sie nicht gerade der oben beschriebenen „Holzhammer-Methode“ zum Opfer fallen. Das sieht natürlich schon wieder ganz anders aus, wenn es die Webanwendung einer prominenten Website ist. Ein Angreifer, der zum Beispiel ein bekanntes Webportal oder eine bekannte Zeitung für eine Drive-by-Infektion präparieren kann, kann darüber in kurzer Zeit sehr viele Benutzer-Rechner kompromittieren, also genau das erreichen, was er eigentlich will.

Angreifer, die Drive-by-Infektionen verbreiten wollen, interessieren sich (wenn sie nicht mit blinden Massenangriffen arbeiten) also

  • für Schwachstellen in weit verbreiteten Webanwendungen (viele Anwendungen mit jeweils wenigen Benutzern liefern insgesamt viele Opfer) oder
  • für Schwachstellen in den Webanwendungen prominenter Websites (eine einzige Anwendung mit vielen Benutzern liefert ebenfalls viele Opfer).

Wenig verbreitete Anwendungen und wenig besuchte Webserver sind für sie nur interessant, wenn sie in einer dieser Kategorien passen. In diesem Fall haben die prominenten Projekte also einen Nachteil gegenüber ihren weniger bekannten und verbreiteten Konkurrenten.

Skriptkiddies, die irgend welche Server defacen wollen

Dann gibt es die Skriptkiddies, die einfach nur irgend welche Server verunstalten, also defacen, wollen. Wie der Name schon sagt verwenden die meist im Internet gefundene Skripte, also Exploits. Erst mal ist es dann egal, ob die für weit verbreitete oder selten genutzten Anwendungen sind, über Google lassen sich immer passende Ziele finden.

Im Sinne der obigen Frage sind dann die weit verbreiteten Anwendungen sogar im Vorteil: Es macht schon einen Unterschied aus, ob der eigene Server einer von 100, einer von 1.000 oder einer von 100.000 Servern mit der betreffenden Anwendung ist. Je mehr andere Installationen es gibt, desto größer ist die Wahrscheinlichkeit, dass der eigene Server ungeschoren davon kommt und es andere erwischt. Ein Sicherheitskonzept ist das aber natürlich nicht.

Angriffe auf bestimmte Server

Dann gibt es die Angreifer, die aus welchen Gründen auch immer ganz gezielt einen bestimmten Server kompromittieren wollen. Dabei ist egal, ob zum Beispiel die Kundendatenbank eines Webshops kopiert, ein Wasserloch-Angriff vorbereitet oder eine unliebsame Website defaced werden soll. Diesen Angreifern ist es erst mal herzlich egal, welche Anwendung sich zwischen ihnen und dem Ziel befindet – was im Weg ist, wird gehackt. Ob das dann eine prominente, viel genutzte Webanwendung oder eine individuelle Eigenentwicklung ist, ist völlig egal.

Fazit

Die Frage, ob man mit einer weit verbreiteten oder einer eher seltenen Anwendung sicherer ist, lässt sich nicht eindeutig beantworten. Beides hat seine Vor- und Nachteile, und Sicherheit ist ja sowieso immer relativ. Eine wenig verbreitete Anwendung ist vielleicht seltener oder nie „automatisierten“ Angriffen ausgesetzt, dafür wird aber sehr wahrscheinlich auch seltener nach Schwachstellen darin gesucht.

Wenn sich jemand gezielt für Ihren Server interessiert, sucht er nach Schwachstellen darin. Dann ist es ganz egal, wie verbreitet oder selten die Webanwendung ist. Es kann allerdings von Vorteil sein, wenn Sie die aktuelle Version einer weit verbreiteten, bewährten Anwendung verwenden und nicht eine, in der noch niemand wirklich ernsthaft nach Schwachstellen gesucht hat. Denn dann ist die Gefahr groß, dass sie dem gezielten Angriff nicht widersteht.

Wenn nur irgend ein Server angegriffen werden soll, kommen Sie mit einer selteneren Anwendung vielleicht ungeschoren davon, da die Angreifer sich auf die weit verbreiteten Anwendungen stürzen. Oder Sie werden gerade deshalb das Opfer, da die Angreifer sich die von Ihnen genutzte Anwendung ausgesucht haben und Ihr Server eines der wenigen überhaupt zur Verfügung stehenden potentiellen Opfer sind.

Viele wichtiger als die Frage, wie verbreitet eine Anwendung ist, ist sowieso das Beachten einiger Grundsätze: Verwenden Sie immer die neueste Version, achten Sie auf eine sichere Konfiguration der Anwendung und des Servers und verwenden Sie vor allem ein sicheres Passwort. Denn viele Anwendungen fallen gar keiner Schwachstellen darin, sondern einer vor der Tastatur zum Opfer: Wenn das Administrator-Passwort über einen Wörterbuch-Angriff ermittelt werden kann, brauchen die Angreifer gar keine Schwachstelle auszunutzen.

Aufmacherbild: Hacker von Shutterstock / Urheberrecht: chanpipat

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -