Imperva: Wir schützen die Daten, die Unternehmen antreiben Cookies-Richtlinie|Blog|Anmelden

Remote File Inclusion: Die unsichtbare Gefahr

Frankfurt - 25. Mai 2011 - Impervas Hacker Intelligence Initiative (HII) veröffentlicht in regelmäßigen Trend Reports Hintergründe aus dem Hacker-Untergrund. Als Teil des Application Defense Centers (ADC) untersucht die HII aktuelle Angriffsmethoden, neue Entwicklungen bei der Sicherheit von Web-Applikationen sowie die dahinter liegenden Geschäftsmodelle der Hacker. Der aktuelle Report beschäftigt sich mit einer Angriffsmethode, die viele verbreitete Sicherheitsmaßnahmen unterläuft: Remote File Inclusion (RFI).

Hacker-Angriffe wie SQL-Injection und Cross-Site Scripting (XSS) genießen bei Sicherheitsverantwortlichen in Unternehmen mittlerweile eine traurige Berühmtheit. Durch ihren häufigen Einsatz sind Schutzmechanismen oder zumindest Warnsysteme gegen solche Angriffe mittlerweile sehr verbreitet, was sie zwar nicht entschärft, aber immerhin kontrollierbarer macht. Weniger bekannt ist eine andere Angriffstechnik, die genauso viel Schaden anrichten kann, dabei aber meist die klassischen Sicherheitsmaßnahmen unterläuft: Remote File Inclusion (RFI).

Bei diesem Angriff werden Schwachstellen in Web-Applikationen ausgenutzt, um Anwendungen beim Zugriff auf Dateien, die auf unterschiedlichen Servern gespeichert sind, umzuleiten. Die meisten Angriffe zielen dabei auf die Skriptsprache PHP. Da PHP die Eingaben bei solchen Zugriffen nicht ordentlich prüft, lassen sich die verwendeten Links auf andere Webseiten umleiten – die sich unter der Kontrolle des Hackers befinden.

RFI ist vor allem deshalb so tückisch, weil PHP bei zahlreichen Webseiten verwendet wird – unter anderem bei Facebook oder bei verbreiteten Customer Relationship Management (CRM)-Systemen, die in vielen Unternehmen genutzt werden. Hacker können solche Angriffe für den Diebstahl vertraulicher Daten, für die Manipulation der Informationen oder für die Übernahme des gesamten Servers verwenden.

RFI-Attacken machten zwischen Dezember 2010 und März 2011 nur einen geringen Teil des Datenverkehrs bei von Imperva beobachteten Angriffen aus. Allerdings traten diese Angriffe häufig sehr konzentriert und innerhalb eines kurzen Zeitraums auf – ein deutlicher Indikator für automatische Hacker-Tools, die für Kriminelle die technische Einstiegshürde erheblich senken. Gleichzeitig zielten die Angriffe meist auf eine größere Zahl von Webseiten ab und wurden teilweise über Wochen oder Monate mit dem gleichen Code wiederholt.

„RFI-Angriffe sind besonders gefährlich, weil sie nur wenig verbreitet sind, weshalb viele Unternehmen keine wirkungsvollen Verteidigungsmechanismen gegen sie haben“, so Dietmar Kenzle, Regional Sales Director DACH & Eastern Europe bei Imperva. „Die meisten von ihnen zielen auf die in Deutschland sehr verbreitete Skriptsprache PHP, was die Unternehmen hier überdurchschnittlich angreifbar macht.“

Schützen kann man sich gegen solche Angriffe, indem man Signaturen für bekannte Applikationsschwachstellen nutzt. „Zusätzlich empfiehlt sich eine Web Application Firewall, die über Informationen zu aktuellen RFI-Angriffen verfügt und idealerweise auch eine Blacklist nutzt, mit der sich die bösartigen Links identifizieren lassen. Auf diese Weise lassen sich auch neue Schwachstellen nicht ausnutzen.“

Der vollständige Report ist hier abrufbar.

Über Imperva

Imperva gehört zu den führenden unabhängigen Anbietern von Datensicherheitssystemen und ermöglicht einen vollständigen Security Lifecycle für Geschäftsdatenbanken und Anwendungen. Die Imperva SecureSphere Suite ist die einzige Lösung am Markt, die ein umfassendes Security Monitoring für Datenbanken, Anwendungen und File-Systeme ermöglicht. Rund 1.200 Unternehmen, 25.000 Cloud-Anwender sowie Behörden und Managed-Service-Anbieter setzen auf Imperva, um den Diebstahl von sensitiven Daten zu verhindern, sich gegen Sicherheitslücken zu schützen, Anwendungen abzusichern und Vertraulichkeit zu garantieren. Weitere Informationen unter www.imperva.de, im Imperva-Blog und bei Twitter.

# # #

Imperva und SecureSphere sind eingetragene Marken der Imperva, Inc. Alle anderen Marken- und Produktnamen sind Marken oder eingetragene Marken der jeweiligen Eigentümer.

Pressekontakt


Deutschland
Stefan Epler
LEWIS PR
Tel: +49 211 522946 11
stefane@lewispr.com

Europe
Neil Stinchcombe
Eskenzi PR
Tel: +44(0)20 71 832 833
neil@eskenzipr.com