Barracuda Webapplication-Firewall Workshop

Am 17. Juni 2009 veranstaltete die Firma Giegerich & Partner mit Unterstützung des IT-Security-Spezialisten Barracuda Networks einen Experten-Workshop zum Thema Sicherheit von Webapplikationen.

Obwohl es ein sehr spezielles Thema ist, war das Interesse erfreulich groß. Beweis dafür war die große Anzahl der Teilnehmer.

In den Räumlichkeiten der Deutschen Luftfahrt AG in Egelsbach hat Jan Poczobutt, Barracuda Sales Director Worldwide WAF (Web Application Firewall), über das wachsende Gefahrenpotenzial beim Betrieb von Webapplikationen berichtet. Es ist unumstritten, dass durch die Vielzahl der Webapplikationen, die bei den meisten Unternehmen im Einsatz sind, eine große Gefahr ausgeht. So haben wir in einer Hackingsession demostriert,wie einfach es ist, mit recht simplen und frei zugänglichen Mitteln, wichtige Daten auf einem Webserver auszuspionieren und sich unberechtigten Zugriff auf Datenbanken zu verschaffen. Die gängigsten Attacken gegen Webserver sind beispielsweise SQL-Injection, webseitenübergreifendes Scripting, Cookie-Poisoning, um nur einige zu nennen. Eine gängige Network-Firewall ist mit diesen Attacken überfordert oder erkennt diese Angriffe nicht als solche.

 

Hier greift die Barracuda Webapplication-Firewall. Sie erkennt die Attacken und Angriffe und riegelt erfolgreich die Zugriffe auf die Web-Server ab. So ist es dem Angreifer nicht mehr möglich, unternehmenskritische Daten oder auch wichtige Kundendaten (Kreditkartennummern etc.) auszuspionieren.

 

Soweit die Theorie!

 

 

Zur Praxis:

Um zu zeigen, dass die Barracuda Webapplication-Firewall auch wirklich das hält, was theoretisch versprochen wurde, kam nun der praktische Teil des Tages.

Es wurde ja ein „Live-Hacking“ angekündigt und von Andreas Küchler (Leiter Netzwerke und Service bei Giegerich & Partner) in Zusammenarbeit mit Christian Schülke (Geschäftsführer von Schuelke.net) in die Tat umgesetzt. Ein für diesen Zweck installierter Web-Shop wurde nun von einem Hacker (Christian Schülke) angegriffen. Mit einigen, aus dem Internet frei zugänglichen Programmen, wurde gezeigt, wie schnell ich an wichtige Kundendaten komme. Natürlich auch an Kreditkartennummern, Benutzernamen und Passwörtern. Einige Befehle wurden eingegeben und schon war das Ergebnis auf der Leinwand für alle Teilnehmer sichtbar. Aber nicht nur das. Unser Hacker, Herr Schülke, hat auch mal gezeigt, wie einfach es ist, etwas „günstiger“ einzukaufen, als es die Preise im Web-Shop angezeigt haben. Ein paar Änderungen in der Eingabe und schon wurden aus einem Einkauf über 5.000 EUR mal eben 50 EUR. Frei nach dem Motto „Geiz ist geil“.

 

 

Soweit so gut. Nun wurde dieser Web-Shop mit der Barracuda Webapplication-Firewall verbunden und Herr Küchler hat Live einige Einstellungen vorgenommen, um diesen Web-Shop abzusichern.

Nachdem er die Standardeinstellungen kurz angepasst hatte, kam nun der zweite Angriff von unserem Hacker Herrn Schülke.

Siehe da, alle Angriffe laufen ins Leere.  Unser Demohacker hatte nun keine Möglichkeit mehr, an die wichtigen und kritischen Daten zu kommen.

 

 

Ein Großteil der Teilnehmer war schon erstaunt, wie einfach es doch ist, an Informationen von „ihren“  Kunden zu kommen. Zumal alle nötigen Werkzeuge dazu tatsächlich kostenlos zur Verfügung stehen. Da  viele Teilnehmer zwar gute IT-Sicherheit im Einsatz haben, aber  genau diese Problematik der Webapplikationen noch nicht kannten, kamen viele Fragen auf und eine rege Diskussion entstand.

Rundum also ein gelungener Workshop zu einem brisanten Thema.  Diese Resonanz kam durchweg auch von allen Teilnehmern.

Wir möchten uns auf diesem Wege bei allen Teilnehmern bedanken, die sich die Zeit genommen haben und unserer Einladung gefolgt sind.

 

Die Giepalinge

 

 

 

 

Additional Information