Qualys veröffentlicht BlindElephant als Open-Source-Tool für Fingerprinting bei Webanwendungen
Die neue Engine macht Fingerprinting bei Webanwendungen schneller und präziser
Black Hat, Las Vegas, Nevada - 28. Juli 2010 - Qualys, Inc. der führende Anbieter von On-Demand-Lösungen für das Management von IT-Sicherheitsrisiken und Compliance, veröffentlichte heute BlindElephant, eine schnelle und präzise Open-Source-Engine für Fingerprinting bei Webanwendungen, die die Versionen von Anwendungen und Plug-ins mittels statischer Dateien ermittelt. In Verbindung mit dem Release von BlindElephant werden bei der Black Hat Sicherheitskonferenz 2010 in den USA die Ergebnisse umfangreicher Untersuchungen vorgestellt, die mit dem Tool durchgeführt wurden. Diese zeigen, dass von bekannten Webanwendungen häufig gefährlich veraltete Versionen in Verwendung sind.
Es gibt viele gängige Webanwendungen, die für zahllose Zwecke einsetzt werden, wie etwa Blogging, Foren, E-Commerce, Datenbankmanagement oder E-Mail, um nur einige wenige zu nennen. Solche Anwendungen werfen von Natur aus spezielle Sicherheitsprobleme auf, und angesichts der zunehmenden Zahl entdeckter Schwachstellen ist es wichtig, zuverlässig ermitteln zu können, welche Anwendungen und Plug-ins auf einer Website laufen und ob überholte Versionen installiert sind. Im Gegensatz zu anderen Web Application Tools verfolgt BlindElephant einen neuartigen Ansatz, bei dem die Hashes statischer Ressourcendateien in einer Anwendung herangezogen werden, um daraus die Versionsnummer abzuleiten.
„Gängige Webanwendungen werden laufend von Angreifern ins Visier genommen und dann zur Verteilung von Malware missbraucht“, erklärt Wolfgang Kandek, CTO von Qualys. „Wir veröffentlichen das Tool BlindElephant als Open-Source-Projekt, damit sich die Nutzer schützen und ihre Webanwendungen überprüfen können. Zugleich dient BlindElephant als erster Schritt hin zu einer Zusammenarbeit mit der Community, um zu erreichen, dass mehr Webanwendungen mittels Fingerprinting analysiert werden.”
„BlindElephant hilft Sicherheitsmanagern und Systemadministratoren, alle Webanwendungen zu identifizieren, die auf ihren Servern laufen – auch solche, die von Benutzern heruntergeladen wurden“, erklärt Patrick Thomas, Sicherheitsexperte bei Qualys und Entwickler von BlindElephant. „Das Tool sucht nicht nach Schwachstellen oder nach Anfälligkeiten für bestimmte Exploits, sondern findet heraus, welche Versionen von Anwendungen auf der Website laufen.“
BlindElephant bietet folgende Vorteile:
- Minimale menschliche Eingriffe, um neue Versionen/Anwendungen zu unterstützen
- Funktioniert auch bei Härtung (Banner-Entfernung)
- Hohe Präzision, um False Positive- und False Negative-Rate zu verringern
- Generische Programmierung, sodass für alle unterstützten Applikationen derselbe Code verwendet werden kann
- Schnelligkeit und Skalierbarkeit, was das Tool auch bei einer großen Zahl von Anwendungen einsetzbar macht
- Geringe Ressourcenbelastung
Für jede unterstützte Anwendung zieht BlindElephant eine Reihe von Versionsverzeichnissen heran. Sämtliche Dateien und Verzeichnisse werden verarbeitet, und für jede Datei wird ein Hash erzeugt. Dieser Hash wird in einer temporären Tabelle gespeichert, zusammen mit dem Pfad und der Version der Anwendung, von der er stammt. Die Präzision des Tools wurde bei einer umfangreichen Untersuchung von Hosts demonstriert, die vom Internet aus sichtbar sind. Dabei ließ sich fest-stellen, welche aktuell unterstützten Webanwendungen am häufigsten verwendet werden und welche Versionen dieser Anwendungen verbreitet sind. Die Analyse konzentrierte sich auf eine Reihe der populärsten Open-Source-Anwendungen, darunter:
- Drupal (Content-Management-System)
- Joomla! (Content-Management-System)
- Mediawiki (Wiki-Software)
- Moodle (Virtual-Classroom-System)
- MovableType (Blogging-Software)
- phpBB (Foren-Software)
- phpMyAdmin (Datenbankmanagement-Software)
- SPIP (Content-Management-System)
- Wordpress (Blogging-Software)
„Ziel des Tools ist es nicht, spezifische Schwachstellen in einer Anwendung zu entdecken, sondern ‚Situationsbewusstein’ zu wecken“, ergänzt Thomas.
Verfügbarkeit
Patrick Thomas wird Blind Elephant und die Ergebnisse der Untersuchung in einer Session vorstellen, die im Rahmen von Black Hat USA 2010 am 28. Juli um 15.15 Uhr Pacific Daylight Time stattfindet.
BlindElephant ist ein Open-Source-Tool und kann ab sofort von http://blindelephant.sourceforge.net/ heruntergeladen werden
Um das Research Paper zu BlindElephant herunterzuladen oder weitere Einzelheiten zu erfahren, besuchen Sie bitte die Qualys Community unter: http://community.qualys.com/community/blindelephant
Die Fingerprinting-Technologie ist bereits in die Lösung QualysGuard Vulnerability Management integriert.
Über Qualys
Qualys, Inc. ist der führende Anbieter von On-Demand-Lösungen für IT-Sicherheits- und Compliance-Management, die als Service bereitgestellt werden. Die Software-as-a-Service-Lösungen von Qualys können innerhalb von Stunden an jedem Ort der Welt verfügbar gemacht werden und vermitteln den Kunden einen sofortigen und kontinuierlichen Überblick über ihre Sicherheits- und Compliance-Aufstellung. Der Service QualysGuard® wird derzeit von mehr als 4.000 Unternehmen in 85 Ländern genutzt – darunter 42 der Fortune Global 100 – und führt pro Jahr mehr als 500 Mio. IP-Audits durch. Bei einem Unternehmen der Fortune Global 50 betreibt Qualys die weltweit größte Installation einer Schwachstellenmanagement-Lösung. Qualys hat strategische Vereinbarungen mit führenden Managed Service Providern und Consulting-Firmen geschlossen, darunter BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, NTT, SecureWorks, Symantec, Tata Communications und TELUS. For more information, please visit www.qualys.com.
###
Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.
For media inquiries or to find the appropriate spokesperson
Contact: Ursula Kafka
Kafka Kommunikation
+49 89 76759434
ukafka@kafka-kommunikation.de
For all other matters
Contact: pr@qualys.com
Media Contact:
Tami Casey
Qualys
media@qualys.com