Barracuda: "Erst durch die Sicherheitsschleuse, dann ins Flugzeug"

23.09.2010 | Innsbruck
"Twitter hätte das jüngste Sicherheitsdebakel vermutlich verhindern können", sagt Wieland Alge, Europa-Chef des Sicherheitsanbieters Barracuda Networks, mit Blick auf die aktuelle Verbreitung von Schadcode über das Netzwerk. Dass bei der Aktivierung einer neuen Version der Software eine bereits behobene Sicherheitslücke wieder auftauche, könne passieren.

Doch solchen Fehlern kann vorgebeugt werden: Ein Schutzwall für Web-Anwendungen (Web Application Firewall) verhindere Angriffe wie das unzulässige einschleusen von Java-Code zuverlässig (Cross-Site-Scripting). Unternehmen müssen lernen, die Sicherheit den anderen Funktionalitäten vorzuschalten. "Auch wer ein Ticket hat, geht erst durch die Sicherheitsschleuse und dann ins Flugzeug. Die andere Reihenfolge ergibt keinen Sinn."

Wieland Alge weiter: "Der konkrete Sicherheitsvorfall bei Twitter wäre wohl nicht aufgetreten, wenn Twitter eine Web Application Firewall als einen Stellvertreter nach außen vor seine Server schalten würde. Dieser Stellvertreter hätte schon das erste vom Twitter-User @zzap getweetete onMouseOver-Script entdeckt und, je nach Einstellung, geblockt oder einen Administrator alarmiert.

Stattdessen haben die Twitter-Server über Stunden hinweg den Java-Code auf hunderten von Accounts ausgeführt, sobald ein User den Maus-Cursor über die betreffenden Stellen gezogen hat."

"Die Sicherheitslücke besteht möglicherweise noch immer"

Noch immer sehen zahlreiche Unternehmen laut Alge Sicherheit und Datenschutz als bloßes Ärgernis an. Er fordert, sie sollten "ihre Sichtweise ändern und eine technische Trennung von Sicherheit und Anwendungscode sicherstellen." Web Application Firewalls würden die schnelle Einführung von neue Features und Funktionen schließlich begünstigen: "Sie blocken die gängigsten Angriffe ab, ohne die Entwicklung von Features und benutzerfreundlichen Oberflächen aufzuhalten." Twitter versichert mittlerweile, der Fehler sei behoben, doch der Security-Experte bleibt skeptisch: "Solange Twitter seine Sicherheitsarchitektur nicht grundlegend ändert, kann das heißen, dass lediglich der im Umlauf befindliche Code geblockt wird. Die Lücke besteht möglicherweise noch immer."

Quelle: Pressemeldung Barracuda Networks Inc.

Dieser Beitrag wurde bisher 475 mal gelesen.
(Rang 7 auf firewall-balancer.de)