© istockphoto.com/VLADGRIN, © istockphoto.com/enotmaks
Websecurity ist ein alter Hut? Das sehen Sicherheitsforscher anders!

Forschungsfeld Webanwendung


Sie denken, im Bereich der Websecurity wurden längst alle möglichen Schwachstellenarten und Angriffe entdeckt, und es gibt nichts Neues mehr zu entdecken? Dann haben Sie die Rechnung ohne Sicherheitsforscher gemacht!

Dem kann ich nur ein „Zum Glück“ hinzufügen. Denn Sicherheitsforscher veröffentlichen ihre Forschungsergebnisse, sodass Sie zumindest eine Chance haben, Ihre Webanwendungen abzusichern, bevor es die ersten Angriffe „in the wild“ gibt. Die Cyberkriminellen wären nicht so rücksichtsvoll, die würden sofort zuschlagen.

Zum Glück (zum zweiten Mal) haben die zumindest bisher kein besonderes Interesse am Erforschen neuer Angriffe gezeigt. Wieso auch, wenn sie doch mit Angriffen auf die bekannten Schwachstellen auch ans Ziel kommen? Solange die Webentwickler weiter Fehler machen, durch die die altbekannten Schwachstellen entstehen, gibt es für die Cyberkriminellen keinen Grund, nach neuen Möglichkeiten für Angriffe zu forschen. Und weil es viele Admins mit der Installation sicherheitsrelevanter Updates nicht besonders eilig haben, müssen die Cyberkriminellen oft nicht mal nach neuen Schwachstellen suchen, sondern können alte, eigentlich längst behobene, aber auf dem angegriffenen Server nicht gepatchte Schwachstellen ausnutzen.

Aber gucken wir mal, was die Sicherheitsforscher in letzter Zeit Neues entdeckt haben.

Rechner oder Mensch, das ist hier die Frage!

Oft steht der Betreiber einer Webanwendung vor dem Problem, Zugriffe von Benutzern von denen durch Bots oder andere Tools zu unterscheiden. Wobei erschwerend hinzukommt, dass bei Bots meist noch zwischen den bösartigen Bots der Cyberkriminellen und den gutartigen Bots wie zum Beispiel den Crawlern der Suchmaschinen unterschieden werden muss.

Um automatisierte Angriffe zu erschweren, setzt man gerne auf CAPTCHAs. Sofern es nur darum geht, den Spamschutz eines Blogs auszuhebeln oder haufenweise Accounts bei Freemail-Providern oder Social Networks anzulegen, setzen die Cyberkriminellen zu deren Lösung oft auf simple Manpower. Es gibt Anbieter, die CAPTCHAs für ein sehr geringes Entgelt pro gelösten CAPTCHA von Menschen lösen lassen. Dagegen ist natürlich keine Gegenwehr möglich, die CAPTCHAs sollen ja von Menschen gelöst werden können und funktionieren in diesem Fall genau wie vorgesehen.

Für Brute-Force-Angriffe und Ähnliches eignet sich dieser Ansatz natürlich nicht, außerdem ist ein Rechner immer billiger als jeder noch so günstige dieser „Wir lösen Ihr CAPTCHA für Sie“-Anbieter. Deshalb gibt es ...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang