Blog

Coders Conquer Security: Share & Learn Series - Unzureichende Anti-Automatisierung

Jaap Karan Singh
Veröffentlicht Apr 04, 2019

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Ressource anzeigen
Ressource anzeigen

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Hier erfahren Sie, wie Sie sie aufhalten können.

Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht Apr 04, 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht Apr 04, 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.

Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.

Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
  • Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Anti-Automation aus?

Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.

Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.

Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.

Warum ist unzureichende Anti-Automatisierung gefährlich?

Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.

Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.

Behebung unzureichender Anti-Automatisierungsprobleme

Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.

Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.

Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.

Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.

Mehr Informationen über Insufficient Anti-Automation

Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge