Sicherheit der zentralen Webserver

Auch die Webserver der TU Chemnitz sind durch Angriffe bedroht. Ausgehend von einem konkreten Vorfall werden Schlussfolgerungen gezogen und Maßnahmen beschrieben.

Sicherheitsfirmen analysieren ständig die Bedrohungen für Computerbenutzer, seien es Schwachstellen in Computerprogrammen, Computerviren oder Angriffe aus dem Internet. So erfahren wir aus dem "Symantec Internet Security Threat Report" (April 2009):

  • Angriffe erfolgen zunehmend über das Web, die Szenarien werden raffinierter und schwer verfolgbar.
  • Angriffsziele sind vermehrt häufig benutzte Webseiten (u.a. auch Universitäten), auf denen Schadsoftware untergebracht werden.
  • Die "Underground Economy" agiert weltweit, äußerst flexibel und ausgeklügelt.
  • Die Ziele bleiben Ausspähen von Geheimnissen und Diebstahl via Online-Banking.

Einige dieser Trends bekommen wir leider auch zu spüren. Ende August 2009 waren für Benutzer von Firefox einige Webseiten der TU Chemnitz gesperrt, da diese als "atttackierende Webseite" erkannt wurden. Tatsächlich enthielt eine Datei eine Zeile, die zum Nachladen von schädlichem JavaScript-Code in den Browser eines Besuchers dieser Seite der TU Chemnitz führte. Dieser Schadcode konnte schnell entfernt werden. Wie konnte diese schädliche Zeile aber in die Datei geschrieben werden und wer hat das getan? Diese Datei befand sich in einem Verzeichnis, das für den Webserver schreibbar war. Nachforschungen zum Änderungszeitpunkt führten uns zu mehreren PHP-Programmen, die zur Datenmanipulation benutzt werden können. Diese befanden sich wiederum in schreibbaren Verzeichnissen. Diese schädlichen PHP-Programme wiederum gelangten durch eine Schwachstelle in einer Typo3-Installation auf unseren Server. Ausgelöst wurden diese Manipulationen sämtlich von IP-Adressen von außerhalb Deutschlands. Eine ausführlichere Analyse finden Sie unter https://www.tu-chemnitz.de/urz/www/sec-2009-1.html

Schlussfolgerungen

  • Angriffspunkte sind Web-Anwendungen mit Sicherheitslücken. Hier sind die verantwortlichen Webautoren in der Pflicht, neue Versionen der Software zeitnah nach Erscheinen zu installieren. Dafür ist Zeit einzuplanen!

  • Schwachstelle sind Verzeichnisse, die für alle Prozesse des Webservers schreibbar sind. In die können Schadprogramme, die auf welchem Weg auch immer ins System gekommen sind, Dateien anlegen, ändern, löschen (je nach konkretem Zugriffsrecht)! Eine Analyse ergab, dass in unserem Webspace sehr viele schreibbare Verzeichnisse existieren.

  • Dadurch ist die Sicherheit von www.tu-chemnitz.de insgesamt gefährdet!

  • Bei selbst entwickelten Anwendungen ist ein sicherheitsbewusstes Programmieren erforderlich. Dazu finden regelmäßig URZ-Kurse "Sicheres Programmieren mit PHP" statt und es existieren Hinweise unter http://www.tu-chemnitz.de/urz/www/php/secure.html

Maßnahmen

  • Wir haben Risiken und Schutzmaßnahmen bei schreibbaren Verzeichnissen zusammengefasst: http://www.tu-chemnitz.de/urz/www/write.html
    Diese Maßnahmen, z.B. Einstellungen via .htaccess, müssen von allen Webautoren beherzigt werden!
  • Gemeinsam mit den Webautoren haben wir die Anzahl der schreibbaren Verzeichnisse deutlich eingeschränkt.
  • Alle notwendigen Verzeichnisse mit Schreibrecht müssen von den verantwortlichen Webautoren geeignet geschützt und über den Web-File-Manager WFM angemeldet werden.
  • Von nicht angemeldeten Verzeichnissen entfernen wir das Schreibrecht für den Webserver.
  • Für Webangebote mit hohem Sicherheitsbedarf (z.B. Webanwendungen mit Personendaten) empfehlen wir den Einsatz eines PROWeb-Servers (siehe http://www.tu-chemnitz.de/urz/www/pro/).

Die Art und Weise des Betriebs von www.tu-chemnitz.de ermöglicht schnelle Änderungen an den Inhalten, die auf einfache Art durch die Autoren direkt realisiert werden können - bis hin zum Einsatz nahezu beliebiger Web-Anwendungen. Diese Eigenschaft wissen viele Autoren zu schätzen.

Allerdings ist aus sicherheitstechnischer Sicht ein verantwortungsbewusster und proaktiver Umgang mit den technischen Fähigkeiten erforderlich, um das Gefährdungspotenzial einzudämmen. Dazu gehört insbesondere die Auseinandersetzung mit den selbst installierten Programmen - es reicht eben nicht aus, dass diese ihre beabsichtigte Funktion erfüllen. Letztendlich muss sich jeder Autor bewusst sein, dass das Ansehen der Universität erheblichen Schaden nehmen würde, wenn unser Web-Server Teil von Angriffsszenarien im Internet würde. Die jetzt getroffenen Maßnahmen erscheinen zwar recht formal, lassen den Autoren aber immer noch zahlreiche Freiheiten, die wir auch nur sehr ungern weiter einschränken wollen.

Frank Richter, November 2009