Mange sikkerhetshull i norske web-applikasjoner

Secode har gjennomgått resultatene fra tester av webapplikasjoner på Internett gjennomført for våre kunder de siste to årene. Med webapplikasjon mener vi her kombinasjonen av egenutviklet programvare og en webserver som Internet Information Server eller Apache, som til sammen realiserer en tjeneste en bruker kan få utført på et nettsted. Velkjente eksempler på webapplikasjoner er e-handelssteder, billettbestilling, nettbank og web-basert e-post. Vi har gjennomført applikasjonstester og penetrasjonstester - i privat og offentlig sektor. Løsningene er levert av et betydelig antall ulike leverandører i det norske markedet.

Resultatene indikerer at det er langt igjen til norske web-applikasjoner på Internett har den robusthet og det sikkerhetsnivå som er nødvendig for å sikre virksomhetene mot misbruk fra ondsinnede brukere på nettet og mot feil, problemer og utilgjengelighet av tjenestene.

81 % av webapplikasjonene som vi har testet, har vært sårbare for Cross Site Scripting (XSS) - angrep. Dette er en svakhet som gir ondsinnede brukere mulighet til for eksempel å "plante" uriktig informasjon som tilsynelatende kommer fra et seriøst nettsted, "kapre" kommunikasjonssesjoner og gjennom dette utgi seg for å være andre personer samt å få kjørt ondsinnet programkode som kan avlytte, ødelegge og/eller endre data på tilfeldige klientmaskiner. Trenden for XSS - sårbarhet er imidlertid avtagende.

38 % webapplikasjonene har vært sårbare gjennom for lavt oppdateringsnivå på plattform-programvaren (versjoner/patche-nivå) og dette er en økende trend. Dette problemet oppstår fordi det stadig blir funnet nye feil i programvareprodukter. Det ble publisert 48 nye sårbarheter pr. uke i gjennomsnitt i første halvår av 2004, i følge Symantec Internet Security Threat Report, Trends for January 1, 2004 - June 30, 2004. Produsentene sender så ut programvareendringer for å korrigere produktene. Informasjon om feilene er offentlig og hvis en virksomhet er for sent ute med å oppdatere systemene sine, er det enklere for ondsinnede brukere å ta kontroll over virksomhetens systemer eller hente ut informasjon fra disse. Manglende sikkerhetsoppdateringer gjaldt sårbarheter som eksempelvis "Buffer overflow" (Internet Information Server Webdav / Unicode / Internet Printing Protocol (IPP)) og ISAPI-filtre på Windows - svakheter som kan utnyttes for å gi mennesker med uærlige hensikter administratorrettigheter på systemene eller også mulighet til å gjennomføre tjenestenekt-angrep (Denial of Service / DoS). Utfordringene med oppdateringer er som regel størst i større organisasjoner med kompleks it-infrastruktur på grunn av avhengighetene mellom programvareprodukter og på grunn av mer kritiske systemer med et større trafikkvolum.

Patcher kommer tilfeldig fordelt over tid - fra ulike leverandører. Det er arbeids- og tidkrevende å teste nye patcher i eget miljø for produksjon. På grunn av raten nye sårbarheter blir publisert med som referert ovenfor, blir det vanskelig å oppdatere med nye patcher umiddelbart. Secode System Sikkerhets har kunder som blant annet på grunn av dette, velger å overvåke forsøk på utnyttelse av sårbarhetene i kritiske systemer (med Intrusion Detection System - IDS) eller sperrer for misbruk med Intrusion Prevention System - IPS.

31 % av webapplikasjonene har vært sårbare for "SQL injection"-angrep. Dette er et resultat av at utviklere ikke legger inn god nok filtrering av inndata fra web-klienten til server. Dette er en svakhet som gir ondsinnede brukere på nettet mulighet til å sende uautoriserte kommandoer til databaseserveren og lese konfidensiell informasjon som de ikke skal ha rettigheter til. De kan også få kjørt egne script (dvs. en sekvens av instruksjoner) mot databasene. Kjøring av slike script kan ulovlig endre data, fjerne data og hente ut utvalgt informasjon. Trenden for "SQL-injection" - sårbarhet er avtagende.

Videre har vi i testene funnet mange eksempler på svakheter som validering av inndata kun på klient hvor valideringen kan omgås, brukernavn/passord som sendes ukryptert over Internett, brukernavn/passord som ligger ukryptert hardkodet i script, mangelfulle utloggingsfunksjoner hvor andre brukere kan utnytte kommunikasjonssesjoner i etterkant, manglede herding av servere og epost-funksjoner som kan benyttes til å spre e-post med falske avsenderadresser.

Secodes erfaring fra andre prosjekter tilsier at disse svakhetene kunne vært unngått ved bedre spesifisering av krav til sikkerhet ved oppstart av utviklings- og anskaffelsesprosjekter, bedre oppfølging av utvikling av programvare samt bedre verifisering/test av løsningen iht. sikkerhetskrav. Tilsvarende viktig er det å stille klare krav i forkant til håndtering av sikkerhet hos leverandører av kundespesifikk programvare, til utviklingsprosessen (etablert kodestandard, opplæring av utviklere, sjekklister for "beste praksis" og "hvordan unngå fallgruber") og til driftsleverandør gjennom spesifikke sikkerhetskrav i tjenestenivåavtale (SLA - Service Level Agreement).

Vår erfaring tilsier at det er meget enklere og mer kostnadseffektivt å spesifisere og bygge inn korrekt sikkerhetsnivå i applikasjonen når sikkerhetsspørsmål tas opp fra prosjektstart. Dette forutsetter at virksomheten har et bevisst forhold til informasjonsverdiene som forvaltes gjennom det nye eller endrete systemet og beskyttelsesbehovet for disse verdiene. Alternativet til dette er ofte endringer kort tid etter at applikasjon/system har gått i produksjon - med ekstra tidsforbruk/kostnader som resultat og uten synlig økning i brukerfunksjonalitet.

Spesifisering og oppfølging av sikkerhetskrav for nye webapplikasjoner er ett viktig tiltak av mange. Det er meget viktig at virksomheten iverksetter balanserte sikkerhetstiltak - etter en helhetlig risiko- og sårbarhetsanalyse - for å ta kontroll over IT-sikkerheten i hele organisasjonen. Slike sikkerhetstiltak bør alle være forankret i en overordnet sikkerhetspolitikk godkjent av ledelsen i virksomheten.

Ivar Aasgaard

Seniorkonsulent ved Secodes Oslokontor

Første gang publisert den 24. januar 2005