OWASP AppSec EU 2011: Sicherheit im Web

Veranstaltungsberichte  –  Kommentare

Die AppSec EU, die europäische Konferenz zur Websicherheit des Open Web Application Security Project (OWASP), hat sich als feste Größe für Applikationssicherheit im Internet etabliert.

Der erste Keynote-Vortrag der vom 7. bis 10. Juni in Dublins historischem Trinity College veranstalteten Konferenz von Adobes Brad Arkin ging auf Adobes Secure Product Lifecycle (SPLC) ein. Von 300 bei Adobe entwickelten Produkten hätten laut dem Senior Directory of Security and Privacy des Unternehmens nur acht CVE-Einträge (Common Vulnerabilities and Exposures). Eine schnelle Überprüfung des Autors auf cvedetails.com der letzten 200 Einträge von Adobe lieferte jedoch bereits 13 Produkte. Je nach dem, wie man die einzelnen Produktfamilien zusammenfasst, haben jedoch knapp 50 Produkte einen oder mehrere CVE-Einträge. Die Firma verfolge laut Arkin im Vergleich zum Java-Plug-in die Strategie, jeden noch so kleinen Bug zu patchen, daher wäre der Flash Player gefühlt relativ häufig unsicher.

Leider erschloss sich dem Zuhörer nicht, warum gerade in Bezug auf den Flash Player und den Acrobat Reader Adobes SPLC keine Verbesserungen gebracht zu haben scheint: Dessen Anfänge gingen ins Jahr 2004 zurück, als Adobe Macromedia kaufte. Vergleicht man ihn mit Microsofts Anstrengungen und deren (Security Development Lifecycle (SDL), sind die Fortschritte der Redmonder deutlicher zu erkennen: Der Internet Explorer kommt laut cvedetails.com von 2008 bis 2010 auf 46 Code Executions, der Flash Player hingegen im gleichen Zeitraum auf 72. Arkins Entschuldigung, dass die Technik schließlich historisch gewachsen sei und Adobe aus Kompatibilitätsgründen nicht so viel ändern könne, stieß auf Kopfschütteln bei einigen Anwesenden. Daran änderte auch nichts, dass – wie Arkin hervorhob – der Flash Player mit den vielen Millionen Installationen auf Desktops und Handhelds unterschiedlicher Architekturen eines der exponiertesten und damit motiverendsten Eintrittspforten für Kriminelle sei.

Microsofts Keynote-Sprecher Alex Lucas (Principal Security Development Manager) untermauerte den Erfolg des SDL mit Zahlen: Laut seinen Angaben sind vom SQL-2000- bis zum SQL-2005-Server die Verwundbarkeiten von 34 auf 3 gesunken (36 Monate nach Release). XP hatte noch durchschnittlich 119 veröffentlichte Verwundbarkeiten im Jahr nach dem Release, Vista nur noch 69. Die beste Strategie wäre heute, Kriminellen das "Return on Investment" durch viele herstellerseitige Maßnahmen technisch so schwer wie möglich zu machen.

Lucas wirkte viel glaubwürdiger als Arkin, da er Microsofts Fehler aus der Vergangenheit eingestand und das Katz-und-Maus-Spiel von Kriminellen und Herstellern nicht versuchte zu verharmlosen.

Einen etwas überraschenden Einschub gabs von Liam Cronin (Commercial Software Initiative Lead), der Microsofts "Four worlds of Open" beschrieb: Open Standards, Open Source, Open (Government) Data und Open Documents. Nach Ansicht des Autors hat es sicherlich auf den ein oder anderen Feldern Bewegungen von Microsoft gegeben wie Hyper-V, ODF-Unterstützung in Office 2007, Azure-SDKs für Java, PHP, Ruby. Nur ist da noch jede Menge Spielraum.

Gelungen war Simon Bennetts Vortrag über den von ihm ins Leben gerufenen ZAP (Zed Attack Proxy), eine einfach zu bedienende Weiterentwicklung des Paros Proxy. Bennetts Fork ist mittlerweile ein OWASP-Projekt. Bennett wollte ein Werkzeug schaffen, mit dem auch Entwickler testen können. Vielfach sei das noch immer noch ein Stück schwarze Magie, und viel zu wenige Entwickler hätten eine solide Ahnung von Websicherheit. Man könne aber so keine sicheren Webanwendungen bauen, wenn man nicht weiß, wie man sie kompromittieren
kann.

Einen Tag vor der Konferenz erschien die Version 1.3 von ZAP, die OWASPs JBroFuzz-Bibliothek enthält und nun dynamisch SSL-Zertifikate generieren kann. Den größten Teil der Präsentation nahm die gut aufgebaute Demo ein, als deren Grundlage die "kaputte" Webanwendung "The BodgeIt Store" diente.

Recht "smart" kam Dan Corells Vortrag "Smart Phones, Dumb Apps" rüber. Viele Apps seien eher Thick Clients, was bedeute, dass das Testen größtenteils durch eine statische oder dynamische Code-Analyse geschehe und nicht durch klassisches externes Testen: Suchen nach SQL-Injections auf der lokalen Datenbank seien witzlos, da der Angreifer dazu einen physikalischen Zugang brauche. Interessante Einblicke gab es in die Welt von Androids Dalvik-VM und in die Möglichkeit, aus den Manifesten und Java-Dekompilierern die interessantesten Einstiegspunkte herauszusuchen und sich von da aus weiter voranzuarbeiten. Gefährlich können Handler wie tel:// oder trade:// (Finanzapplikation) beim Surfen sein.