Web-Sicherheit

Februar 20, 2011

Was passiert, wenn was passiert

Filed under: Allgemein — sebastiankuebeck @ 17:53
Tags: , , , , ,

Das zweite Kapitel meines Buches beschäftigt sich mit den Auswirkungen von Sicherheitsvorfällen auf Unternehmen und Organisationen. Dabei beschreibe ich die häufigsten Sicherheitsvorfälle, die im Zusammenhang mit Webapplikationen auftreten.

Natürlich weise ich in diesem Zusammenhang auch auf Angriffe hin, die durchgeführt werden, um Webseiten mit Schadcode zu infizieren. Dabei fängt sich nicht der Webserver den Virus ein, sondern dient lediglich als „Zwischenwirt“. Er verbreitet den Virus, indem er die Browser der Besucher infiziert, die Schadroutine – also jener Teil, der wirklich etwas böses macht, wie das Ausspähen von Passwörtern zum Beispiel – läuft allerdings nicht am Server.

Beispiele von Angriffen dieser Art gibt es zuhauf. Ein aktieller, prominenter Fall ist die Infektion der Webseite von ThoughWorks, von der ich bereits berichtete. Obwohl die Infektion der Webseite bereits seit dem Jahreswechsel bekannt ist, hat sich die Situation noch nicht gebessert, wie Martin Fowler (leitender Wissenschaftler bei ThoughtWorks) kürzlich berichtete. Inzwischen müssen die Kunden von ThoughtWorks mit einer stark eingeschränkten, statischen Version der Webseite Vorlieb nehmen.

Eine verkürzte Chronologie der Ereignisse:

  • Anfang Jänner: Googles Suchroboter meldet, dass er Schadsoftware auf ThoughtWorks.com gefunden hatte. Bei ThoughtWorks war man „besorgt“, man wusste aber nicht, was man jetzt machen sollte.
  • Ende Jänner: Googles Suchroboter meldet erneut, dass er Schadsoftware gefunden hat. Nun entschließt man sich bei ThoughtWorks, die Homepage durch eine stark eingeschränkten, statischen Version zu ersetzen.
  • Vorletzte Woche: Googles Suchroboter meldet, das nun die Seite von Martin Fowler selbst (martinfowler.com) infiziert sei. Da diese Seite nur aus statischen Seiten besteht und offenbar am selben Server beheimatet war, wie die Homepage von ThoughtWorks, schloss man bei ThoughtWorks, dass der Webserver wahrscheinlich selbst befallen war. Daher wurde diese Seite auf einen anderen Server verlegt.
  • 12., 13. Februar: Über das Wochenende wurde die Homepage von ThoughtWorks auf einem neuen Server aufgesetzt. Daraufhin fand sich wieder Schadsoftware auf diesem Server, also wurde wieder die statische Seite in Betrieb genommen. Nachträglich stellte sich heraus, dass sich offenbar doch keine Schadsoftware auf dem neuen Server befand.

Sie werden sich jetzt wahrscheinlich genauso wie ich fragen, warum die nicht gleich bei der ersten Warnung die Homepage aus den Quellen auf einem frisch aufgesetzten Server aufspielen und in Betrieb setzten.
Die Antwort hierzu laute wie folgt:

Wir müssen auch unsere dynamische Seite [von ThoughtWorks.com] neu aufspielen und in Betrieb setzten. Das ist allerdings schwierig, da Bibliotheken involviert sind, die wir erst überprüfen müssen. Unser letzter Versuch, die Seite in Betrieb zu setzten scheiterte, also müssen wir erst feststellen, was da wirklich passiert.

Mit anderen Worten: Die hatten überhaupt keinen Notfallplan und der Vorfall erwischte ThoughtWorks völlig unvorbereitet (es handelt sich hier immerhin um ein multinationales Technologieunternehmen)! Vor diesem Hintergrund scheinen meine Anmerkungen in Abschnitt 2.2 geradezu prophetisch:

Generell ist es ratsam, auf einen Sicherheitsvorfall vorbereitet zu sein. Es gibt
nämlich – wie wir noch sehen werden – keine hundertprozentige Möglichkeit,
Ihre Infrastruktur gegen alle möglichen Angriffe zu schützen. Deshalb ist es sinnvoll,
sich schon vorher mit der beschriebenen Situation vertraut zu machen und
einen Notfallplan zu erstellen, der alle Aktivitäten beim Eintreten eines Sicherheitsvorfalls
festlegt.

Dazu sollte natürlich auch gehören, dass man seine Homepage jederzeit auf einem neuen Server in Betrieb nehmen kann. Genau so verhält es sich mit jeder Art von Backup: Ist man nicht in der Lage, ein Backup auch wieder einzuspielen, ist es nutzlos. Weiterhin hat es sich gezeigt, dass man praktisch nie in der Lage ist, Backups einzuspielen, wenn man das nicht zuvor trainiert hat.

Abschließend empfehle ich Ihnen, sich regelmäßig selbst die Frage zu stellen, ob Sie in der Lage sind, Ihre Homepage, Ihre Webserver und andere IT-Infrastruktur jederzeit wieder in annehmbarer Zeit zum Laufen zu bringen, sollte ein ähnlicher Vorfall bei Ihnen eintreten…

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: