Lücken schließen: Sicherheitstests für rundum sichere Anwendungen

Schritt 4: Sichern der Datenbanken

Nicht nur für Dateisysteme bestehen Risiken hinsichtlich der Rechtevergabe. Auch die meisten Datenbanksysteme weisen eine Reihe von Sicherheitslücken auf. Ihre Standard-Einstellungen beinhalten oft unsachgemäß vergebene Rechte, unnötig geöffnete Ports und unzählige Demo-Benutzer-Accounts. Ein bekanntes Beispiel hierfür ist der Demo-Account von Oracle mit dem Benutzernamen Scott und dem Passwort Tiger. Für die Sicherung von Datenbanken gelten die gleichen Richtlinien wie für den Schutz von Betriebssystemen: Schließen Sie alle nicht benötigten Ports, löschen oder deaktivieren Sie alle nicht genutzten Accounts und gewähren Sie den einzelnen Benutzern nur die Zugriffsrechte, die sie für ihre jeweiligen Aufgaben brauchen.

Schritt 5: Schließen der Hintertüren

Haben Sie sich jemals über die vielen Schritte geärgert, die Sie zum Testen einer tief in einer Anwendung verborgenen Funktion benötigten und daher einen entsprechenden Shortcut erstellt? Ich denke, das ging jedem IT-Techniker schon einmal so. Das Problem dabei ist nur, dass solche Shortcuts, die auch als Hintertüren bezeichnet werden, oft übersehen und vergessen werden. So kann es vorkommen, dass Anwendungen versehentlich mit solchen Shortcuts in Betrieb genommen werden. Eine umfassende Sicherheitsprüfung sollte daher in jedem Fall eine Untersuchung des Anwendungscodes auf unbeabsichtigt im System verbliebene Hintertüren beinhalten.

Ein weiteres sehr anschauliches Beispiel, bei dem eine Hintertür Sicherheitsprobleme verursachte, liefern die frühen Versionen des Betriebssystems Solaris und deren [Strgl]-K-Schwachstelle. Zu Beginn der 90er Jahre konnten sich die Solaris-Benutzer Root-Zugriffsrechte verschaffen, indem sie sich als gewöhnlicher Benutzer anmeldeten und dann zweimal die Tastenkombination [Strg]-K drückten.

Zum Auffinden solcher Hintertüren müssen Sie den Quellcode sorgfältig prüfen und dabei auf bedingte Anweisungen achten, die in Verbindung mit ungewöhnlichen Parametern bestimmte Vorgänge ausführen. Wenn beispielsweise eine Anwendung üblicherweise durch Doppelklicken auf ein Symbol aufgerufen wird, müssen Sie sicherstellen, dass durch einen Aufruf über die Befehlszeile in Kombination mit bestimmten Parametern kein Wechsel in einen Modus mit Administratorrechten oder anderen Privilegien möglich ist.

Fazit

Sicherheitstests müssen genau wie Funktionstests nach einem bestimmten Plan ausgeführt werden. Das hier geschilderte Verfahren aus fünf Schritten liefert einen systematischen Ansatz hierzu. Mithilfe dieser Schritte können Sie die grundsätzlichen Sicherheitsaspekte Ihres Systems ohne große Kosten überprüfen. Natürlich werden Sie dadurch noch nicht zu einem Sicherheitsexperten. Dennoch können Sie auf diese Weise alle grundlegenden Sicherheitsmaßnahmen durchführen – immer vorausgesetzt, Sie verstehen das getestete System. Folgen Sie den hier beschriebenen Schritten, und Sie können gewährleisten, dass Ihr System ausreichend gesichert ist und somit weniger wahrscheinlich zum Ziel von Hackerangriffen werden dürfte.