Security-Konferenz Black Hat

Tool entdeckt 150 Lücken in Firewalls

Tobias Wendehost beschäftigt sich als Volontär aktuell mit verschiedenen Hardwarethemen und stellt täglich ein Gadget des Tages vor. Ansonsten arbeitet er sich thematisch durch die Ressorts Job und Karriere, Software, Netzwerke und Mobile sowie IT-Strategie. Wer möchte, kann Tobias bei Twitter (@tubezweinull) folgen oder bei Xing eine Nachricht schreiben.
Der Chefentwickler des Security-Spezialisten Qualys, Ivan Ristic, hat auf der diesjährigen Black-Hat-Konferenz ein Programm vorgestellt, das 150 Schwachstellen in Web-Application-Firewalls aufgedeckt.
Die jährlich stattfindende Black-Hat-Sicherheitskonferenz ist Treffpunkt für Sicherheitsexperten aus aller Welt.
Die jährlich stattfindende Black-Hat-Sicherheitskonferenz ist Treffpunkt für Sicherheitsexperten aus aller Welt.
Foto: UBM TechWeb

Während der 15. Auflage der IT-Sicherheitskonferenz Black Hat in Las Vegas, stellte Ristic ein Test-Tool vor, das es in sich hat: Insgesamt konnte es 150 Schwachstellen in Web-Application-Firewalls (WAF) erkennen. Der Autor der Open-Source-Firewall "ModSecurity" führte anhand der eigenen Entwicklung vor, wo die Sicherheitslücken zu finden sind. Das Programm testet hierbei die Anfälligkeit auf verschiedenen Protokoll-Ebenen.

WAFs sollen Internet-Anwendungen vor bekannten Angriffen wie SQL-Injections schützen, bei denen mögliche Sicherheitslücken in der Datenbank zum Ausfall einer Website führen können. Die Firewall fängt hierbei Client-Anfragen ab und setzt vordefinierte Regeln durch. Ristic geht davon aus, dass auch andere Firewall-Systeme von dem Problem betroffen sind. So existieren zahlreiche Methoden, um bösartige Anfragen unbemerkt einzuschleusen und die Regeln zu umgehen. Ein Beispiel ist die Veränderung der anfragenden URL, so dass die Protokoll-Ebene den Urheber nicht erkennt und die Firewall umgangen wird. "Da die Technik noch unbekannt ist, schützen die Firewalls nicht vor den Problemen", warnte der Qualys-Mitarbeiter in der Präsentation.

Während der Black-Hat-Konferenz testete Ristic das Tool mit Kollegen verschiedener Unternehmen, wobei auch andere Firewalls attackiert wurden. "Für die Industrie sind diese Angriffe ein großes Problem", so Erwin Huber Dohner, Leiter der Entwicklungsabteilung beim Schweizer Sicherheitsanbieter Ergon Informatik. In Untersuchungen stellten er und seine Mitarbeiter ähnliche Risiken fest.

Damit das Problem behoben wird, hat Ristic das Programm nun veröffentlicht und eine Diskussion zu Angriffen auf Protokoll-Ebene angestoßen. Ein öffentlich zugänglicher Katalog mit den Techniken wird in einem eigenen Wiki zusammengefasst. "Wenn Firmen und Sicherheitsexperten die erkannten Probleme nicht dokumentieren und veröffentlichen, werden Firewall-Entwickler die gleichen Fehler immer wieder begehen", meinte Ristic abschließend. Das entwickelte Überprüfungs-Tool soll Unternehmen helfen, WAFs mit Sicherheitslücken zu erkennen und die Probleme zu beheben.