WebSand
30.10.2014, 00:00 Uhr
Eingebauter Schutz für ein sichereres Web-Erlebnis
EU-Forscher entwickelten einen innovativen Sicherheitsrahmen, der sowohl Internetnutzern als auch Entwicklern einen größeren Schutz vor Cyberangriffen bietet.
Der Monat Oktober wurde zum European Cyber Security Month (Europäischer Monat für Cybersicherheit) ausgerufen und das Bewusstsein für Onlinesicherheit in der EU ist so groß wie nie. Cyberkriminalität kostet die europäische Wirtschaft laut Schätzungen jährlich etwa zehn Milliarden Euro, wobei ein Großteil davon auf den Diebstahl von Kreditkartendaten, die später auf dem Schwarzmarkt verkauft werden, zurückzuführen ist.
Eines der Projekte, das die EU Im Kampf gegen die Cyberkriminalität und zur Förderung der Sicherheit im Internet finanziert, nennt sich WebSand (Server-driven Outbound Web-application Sandboxing), welches bereits neue Tools entwickelte, die es Hackern erschweren, die Systeme zu knacken.
Die Computerwissenschaftler von WebSand haben auf "Sandkästen" basierende Lösungen entworfen, restriktive Mechanismen, die die Serversysteme sowie Informationsflüsse (zwischen Servern und den Browsern der Nutzer) von nicht vertrauenswürdigem Code trennen.
"Der wichtigste Erfolg von WebSand war, dass wir den Entwicklern gezeigt haben, wie man Sicherheit zu einem standardmäßigen Bestandteil des Systems macht anstatt zu einem nachträglichen Aufwand“, erklärte der Koordinator Dr. Martin Johns .
Das Ziel war, den Entwickler durch einen Server-basierten Sicherheitsansatz und die Bildung eines modularen, einfach zu nutzenden Rahmens das Ruder in die Hand zu geben, damit Entwicklern sogar mit begrenzten Kenntnissen im Bereich der IT-Sicherheit verlässlich sichere Anwendungen entwickeln können.
Darüber hinaus hat WebSand eine Reihe von Browser-Erweiterungen für Endnutzer entwickelt. Diese umfassen CSFIRE, welches für Nutzer "unsichtbar" ist, das es die Funktionalität der Anwendungen, die es verwenden (zum Beispiel E-Mail-Programm, Facebook, Google oder ein Währungsrechner), nicht beeinträchtigt, während es sie transparent vor Web-Angriffen schützt.
Die Wissenschaftler von WebSand haben zudem Lösungen für einige der grundsätzlichen, fortlaufenden Probleme des Internets untersucht und gefunden:
- Sie haben eine leichte Ergänzung zur Client-Seite von Browsern entworfen, die DNS-Rebinding-Angriffe verhindern, eine weit verbreitete Methode zur Gewinnung von Daten aus einem Server ohne das Wissen des Hosts. Eine kleine Erweiterung der "Same-Origin-Policy" setzt dieser Gefahr ein Ende.
- Darüber hinaus haben Sie auch einen anderen Weg für die Authentifizierung von Passwörtern entwickelt, indem sie ein neues Challenge-Response-System implementieren, das vom Server und nicht vom Browser eingeleitet wird.
Nun arbeiten die Hauptpartner des Projekts, die deutschen Unternehmen SAP und Siemens sowie die Universitäten von Leuven in Belgien und Chalmers in Schweden, mit den internationalen Internet-Normenorganisationen W3C und IETF, um Browserunternehmen davon zu überzeugen, die WebSand-Technologie zu übernehmen. Zudem sind sie ein Teil der gemeinnützige Organisation OWASP (Open Web Application Security Project) und bewerben ihre Erkenntnisse durch deren Nutzergruppen und Meetings.
"Bei SAP und Siemens verwenden wir die WebSand-Technologie, um unsere eignen Produkte sicherer zu machen. Wir würden jedoch auch direkt von einem Internet profitieren, das standardmäßig sicher ist", sagt Dr. Johns. "Sicherheit ist sehr teuer und ein sichereres Internet würde es Unternehmen außerdem erlauben, einen größeren Teil ihrer Ressourcen für die Funktionalität ihrer Produkte und Dienstleistungen einzusetzen." [bl]