Coders Conquer Security: Share & Learn Series - Unzureichende Anti-Automatisierung

Veröffentlicht Nov 07, 2022
von Jaap Karan Singh
tl;dr?

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Ressource anzeigen

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Secure Code Warrior Ernennung zum Gartner® Cool Vendors™ des Jahres 2022

Veröffentlicht Nov 07, 2022
Von Jaap Karan Singh

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Geben Sie Ihre Daten ein, um den vollständigen Bericht aufzurufen.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Huch, Gänseblümchen