   | | OWASP API Security Top 10 in der Praxis +++ API-Tools zum Katalogisieren, Absichern, Testen +++ Cloud-Desktops im Vergleich +++ Datenschutz vs. Sicherheit +++ Review: RHEL 9
|
| |
|
| Liebe Leserin, lieber Leser,
|
| die oft mangelhafte Sicherheit von Web-Applikationen haben die meisten Security-Experten im Blick – dass aber von den APIs ebenfalls eine große Gefahr ausgehen kann, wird schnell vergessen. Wie sich Unternehmen besser gegen Angriffe wappnen können, erklärt Titelautor Frank Ully im Gespräch mit iX-Redakteur Moritz Förster. Einen Überblick aller Themen der neuen Ausgabe finden Sie im Inhaltsverzeichnis der iX 7/2022.
| |
|
|
| |
|
|
| | | | Interview: API-Schwachstellen finden und beheben | |
| |
| |
Frank Ully ist Head of Research der Oneconsult Deutschland AG in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit.
Moritz: Dass Webanwendungen ziemlich gefährliche Sicherheitslücken aufweisen können, ist allgemein bekannt – welche Bedrohungen von API-Schwachstellen ausgehen können, scheinen viele Unternehmen zu unterschätzen. Woran liegt das??
Frank: Das liegt daran, dass man mit Webanwendungen direkt interagiert und es da bekannte Schwachstellen wie SQL Injections gibt – aber man schon bei modernen Single-Page-Webanwendungen (SPAs) gar nicht merkt, dass die Anwendung im Browser direkt mit einer API kommuniziert. Anwender und Entscheider wissen häufig gar nicht, dass mobile Apps und Computer miteinander über mehrere APIs kommunizieren. Generell findet ja bereits ein Großteil des Webverkehrs über Schnittstellen statt.
Durch die andere Architektur sind bei APIs manche Lücken viel verbreiteter als bei klassischen Webanwendungen – und natürlich gibt es auch neue Angriffsflächen, etwa bei Autorisierung und Authentifizierung über OAuth und OpenID Connect oder bei Zugriffstoken in Form von JSON Web Token (JWT).
Moritz: Sicherheitstester gehen am besten wie potenzielle Angreifer vor. Welche Tools bieten sich an, wenn man seinen eingesetzten APIs auf den Zahn fühlen will?
Frank: Das Hauptwerkzeug ist ein sogenannter Interception-Proxy, den man zwischen Browser oder Mobilgerät beziehungsweise die zu testende App und deren Kommunikation mit dem Web hängt. Installiert man ein Zertifikat, sieht man TLS-verschlüsselten Verkehr im Klartext. Damit kann man wie ein Angreifer sämtliche Anfragen des Clients und die Antworten der Schnittstelle einsehen und gezielt manipulieren. Sowohl der kommerzielle Burp Proxy als auch der kostenfreie OWASP Zed Attack Proxy bieten automatische Scans, die manche Schwachstellen aufdecken können.
Neben diesen dynamischen Tests sollte man, sofern vorhanden, den Quelltext der API mit einem statischen Scanner wie dem Open-Source-Werkzeug Semgrep prüfen. Daneben gibt es zahlreiche weitere Tools, um Schnittstellen dynamisch oder statisch auf einzelne Punkte abklopfen.
|
| |
|
|
| |
|
| |
|
|
| | iX-Autor Frank Ully (links) im Gespräch mit iX-Redakteur Moritz Förster
|
|
| |
|
| |
|
| | Moritz: Sofern Kriminelle keinen physischen Zugang zu den Systemen haben, müssen sie über aus dem öffentlichen Internet erreichbare Endpunkte agieren. Wie gehen sie dabei vor und wie kann man sich dagegen schützen?
Frank: Angreifer finden beispielsweise über Recherche in öffentlichen Datenbanken alle von einer Organisation registrierten Domänen und Subdomänen heraus und entdecken so einen API-Host beta.api.2consult.ch, auf dem keine Patches eingespielt sind oder auf dem eine andere, verwundbare Version der Schnittstelle läuft. Mit speziellen Brute-Forcing-Werkzeugen und großen Listen möglicher API-Endpunkte finden sie Versionen mit Pfaden wie /api/v1.2/password-reset oder administrative Endpunkte. Manchmal genügt für Angreifer ein Blick in den JavaScript-Quelltext der Client-SPA, der unangemeldet alle verwendeten Endpunkte offenbart – auch solche, für die man höhere Privilegien braucht.
Eine Organisation kann sich davor schützen, indem sie eine gute Inventarisierung betreibt, also weiß, welche API-Hosts und -Versionen sie am Netz hängen hat. Nicht benötigte Systeme sollten offline genommen werden oder nicht aus dem gesamten Internet zugänglich sein. Andere Versionen der API als die Hauptvariante müssen genauso geschützt werden wie diese.
Moritz: Die Clientanwendungen für die Endnutzer sind doch in der Regel bereits gut getestet. Wieso genau kann sich das Unternehmen dennoch in falscher Sicherheit wiegen?
Frank: Weil der Client eben nur die eine Seite der gesamten Anwendung ist und die Schnittstelle die andere, die noch dazu aus dem Internet zugänglich ist. Beispielsweise sieht ein Angreifer, der sich über einen Proxy die Antworten der Schnittstelle ansieht, womöglich sensible Daten, die im Client gar nicht angezeigt, von der API aber preisgegeben werden.
|
| |
|
|
| |
|
| |
|
|
| | | | Im Heft geschmökert: Empfehlungen der iX-Redaktion | |
| |
|
| |
| | Der Schutz meiner Daten ist für mich ein wichtiges Thema und oft siegen sogar die Bedenken über den Wunsch zum bequemen Gerätenutzen. Deshalb hat mich in der iX 7/2022 besonders der Artikel Datenschutz versus Schutz vor Malware aufgeschreckt. Welches Interesse wiegt schwerer: das des Arbeitgebers an der Gewährleistung von IT-Sicherheit oder das des Beschäftigten am Schutz der Privatsphäre? Der Artikel beleuchtet neben diesen Standpunkten vor allem die technischen Aspekte davon, wie sich Unternehmen vor TLS-geschützten Downloads von Malware schützen können. Durch das Lesen konnte ich wieder einmal viel dazulernen.
– Philipp Steevens, iX-Volontär
|
| |
|
|
| |
|
| |
|
| | Ob Firmen oder Verbraucher: Wer ein Smartphone oder ein Notebook kaufte, war bisher auf das Wohlwollen der Hersteller angewiesen, stets mit aktueller Software versorgt zu werden. Selbst Geräte, die technisch noch einwandfrei waren, mussten schon aus Sicherheitsgründen zu einem unvorhersehbaren Zeitpunkt entsorgt werden, wenn es keine Updates mehr gab. Das ist nicht nur teuer, sondern geradezu unverantwortlich im Hinblick auf den nachhaltigen Umgang mit Ressourcen. Politik und Gesetzgebung schaffen nun endlich Klarheit darüber, welche Support-Fristen die Produzenten einhalten müssen und welche Rechte den Eigentümern der Geräte künftig zustehen.
– Bert Ungerer, Leitender Redakteur
|
| |
|
|
| |
|
| |
| | | | iX-Workshops vorgestellt | |
| |
|
| |
| | Als IT-Profi kennen Sie vermutlich schon unsere iX-Workshops. Erfahrene Trainer vermitteln in Form von ein- oder mehrtägigen Onlineschulungen praxisrelevantes, sofort einsetzbares Know-how. Das Themenspektrum deckt alle Bereiche der professionellen IT ab: IT-Sicherheit, Systemadministration und DevOps, Softwareentwicklung sowie Cloud, KI und Data Science. In unserem Workshop Linux-Server souverän administrieren vom 22. bis 26. August macht Trainer Wolfgang Krüger vom Linux-Spezialisten B1 Systems Sie mit den Möglichkeiten dieses vielseitigen Serverbetriebssystems für den Unternehmenseinsatz vertraut.
|
| |
| |
|
| |
|
| |
|
| | Referent Wolfgang Krüger ist Linux-Trainer mit vielen Jahren Erfahrung:
„Linux als freies Betriebssystem bietet viele herausragende Möglichkeiten, stellt aber auch besondere Anforderungen an Administratoren und Benutzer. In meinem Workshop erkläre ich die grundsätzliche Vorgehensweise bei der Administration eines Linux-Systems. Neben einem Überblick über die Philosophie und die Hintergründe zeige ich Ihnen den konkreten Umgang mit essenziellen Werkzeugen und Technologien. Dabei haben Sie viel Gelegenheit zum Selbstausprobieren.“
– Wolfgang Krüger zum Linux-Workshop
|
| |
|
| |
|
| |
|
|
| | | | Weitere Themen in der iX 6/2022 | |
| |
| |
Ein weiteres Thema der Juli-iX sind Desktops aus der Cloud: Microsoft und Amazon AWS bieten vollständig verwaltete Systeme an – die sich jedoch nicht immer für denselben Zweck eignen. Außerdem wirft das neue Heft einen genauen Blick auf RHEL 9 und zeigt, was sich mit dem neuen Unterbau alles geändert hat. Alle Themen und Artikel finden Sie im Inhaltsverzeichnis der iX 7/2022.
Haben Sie Anregungen zum Newsletter oder zum Heft allgemein? Schreiben Sie mir unter fo@ix.de! Ich wünsche Ihnen einen schönen Sommer, Ihr
|
|
| |
|
| |
 | | Neugierig geworden? Sie erhalten die iX 7/2022 ab dem 23. Juni
|
| |
| |
| |
| Diese E-Mail weitergeleitet erhalten?
|
| |
|
| |
|
| |
|
| Sie sind unter folgender Adresse eingetragen: unknown@unknown.invalid - .
Hier können Sie sich von künftigen Zusendungen abmelden.
| |
| Verantwortlich für den Inhalt:
Heise Medien GmbH & Co. KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 [0]511 5352-0
E-Mail: infoservice@heise.de
Registergericht:
Amtsgericht Hannover HRA 26709
|
Persönlich haftende Gesellschafterin:
Heise Medien Geschäftsführung GmbH
Registergericht:
Amtsgericht Hannover, HRB 60405
Geschäftsführer: Ansgar Heise, Beate Gerold
|
|
| |
| Herausgeber: Christian Heise, Ansgar Heise
Chefredakteur: Dr. Oliver Diedrich (verantwortlich)
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium als Ganzes oder in Teilen bedarf der schriftlichen Zustimmung des Verlags. Copyright © 2022 Heise Medien GmbH & Co. KG
| |
|
|
|
