Startseite
Abo
Jobbörse
Marktplatz
Werben
Sponsored Post
Partnerprogramm
Gib uns einen Tipp!
- Dein Tipp
  
  Bitte wähle aus:
  
  Dein Anliegen in einem Satz zusammengefasst:
  
  Beschreibe deinen Tipp im Detail:
  
  Dein Name:
  
  E-Mail-Adresse für Rückfragen:
  
  abbrechen

t3n Magazin Social Media, Web 2.0, E-Business und Open Source

Kennst Du schon unser t3n Magazin
für Social Media, E-Business und Web-Technologien?

Falls nicht schau doch hier ganz unverbindlich mal rein!

Jetzt reinblättern

Diesen Hinweis nicht mehr zeigen

Teilen 0 Twittern 0

von Luc de Louw, 04.09.2007

Unsichere Webapplikationen machen Webserver zu Spam-Schleudern: Schaden vermeiden durch mehr Serversicherheit

Aus dem
t3n Magazin Nr. 9

Mit dem Einsatz von unsicheren Webapplikationen kann jeder Webserver zur Spam-Schleuder werden. Das wiederum belastet den Ruf des Unternehmens und verursacht möglicherweise sogar finanziellen Schaden. Vor allem die bekannten Sicherheitslücken verbreiteter Software sind gefährdete Schwachstellen. Mit dem Einsatz von Firewalls, mit einem durch die Suhosin-Extension gehärteten PHP und mit weiteren Maßnahmen kann den Gefahren aber begegnet werden.

SPAM ist eigentlich eine Abkürzung für „spiced pork and ham“ - gewürztes Schweinefleisch und Schinken. In Büchsen abgefüllt ist es ein eingetragenes Markenzeichen der Firma Hormel Foods LLC in den USA. Aus diesem Grund wird hier nicht von Spam gesprochen, sondern von UBE, von Unsolicited Bulk Emails, also unerwünschten Massenmails.

Zwar wird der größte Teil der UBE durch infizierte Desktop-PCs verschickt, die durch Botnetze gesteuert werden [1]. Zunehmend wird aber ein nicht unerheblicher Teil mit Hilfe von unsicher programmierten Webapplikationen verbreitet. Die Folgen: Millionen Menschen erhalten eine UBE mit einem Absender nach dem Muster wwwrun@ihrefirma.ch. Vielleicht steht sogar in der E-Mail die Anschrift des Unternehmens und nun stellen Sie sich vor, es handelt sich um Ihr Unternehmen. Bedenken Sie, was das für den Ruf des Unternehmens bedeuten kann. Sogar ein Serviceausfall ist wahrscheinlich, und auch das wirkt sich negativ aus. Unter Umständen, je nach Hosting- beziehungsweise Anbindungsvertrag, ist neben dem Imageschaden zusätzlich sogar ein finanzieller Schaden durch einen erhöhten Traffic zu erwarten. Auch gehen Anbieter von DNS-Blacklisten immer rabiater gegen UBE-Versender und deren (potenziellen) Unterstützer vor, so wie Anfang Juni 2007 bei der Blockierung von nic.at durch spamhaus.org. Mehrere Blacklisten setzen ganze Unternehmensnetzwerke auf ihre Listen, so wird unter Umständen die Kommunikation per E-Mail mit Ihren Kunden erschwert, wenn nicht sogar unmöglich.

Die Ursachen

Viele so genannte „Profi-Programmierer“ schimpfen über PHP als generell unsichere Sprache. Das stimmt zwar so nicht, doch muss der PHP-Implementierung von Zend eine mangelnde Sicherheitskultur vorgeworfen werden. Wochenlang nachdem Sicherheitslücken entdeckt und zum Teil korrigiert wurden, sind sie im CVS Repository [2] vor dem nächsten Release öffentlich einsehbar. In den Release Notes wird zudem vielfach vergessen, die gestopften Lücken zu erwähnen. Die Systemadministratoren erkennen dann die Ernsthaftigkeit der Lage nicht und warten mit dem Update. Mehr und tiefere Informationen zu dem Thema können in Stefan Essers Blog [3] nachgelesen werden. Insgesamt gilt, dass unsorgfältige Programmierung die häufigste Ursache für verwundbare Webapplikationen ist, egal in welcher Programmiersprache sie geschrieben sind.