Kostenloses Werkzeug zum Schutz gegen Hackerangriffe

"HP SWFScan" prüft Sicherheitslücken in Adobe Flash-Anwendungen

(26.03.09) - Mit dem kostenlosen Scan-Tool "HP SWFScan" von Hewlett-Packard (HP) können Entwickler von Flash-Anwendungen ihre Web-Applikationen vor Hackerangriffen schützen. Flash-Entwickler können mit HP SWFScan prüfen, ob sie sicheren Code programmiert haben, noch bevor sie die Anwendung publizieren. Das Werkzeug ist das erste, das Flash-Applikationen dekompiliert und das Anwendungsverhalten statisch analysiert. Auf diese Weise lassen sich Sicherheitslücken identifizieren, die mit herkömmlichen dynamischen Methoden nicht aufzudecken sind.

Sowohl Unternehmen als auch Betreiber von privaten Webseiten setzen zunehmend Web 2.0-Technologien ein, darunter auch die Adobe Flash-Plattform. Da der Adobe Flash Player inzwischen weltweit auf 98 Prozent aller PCs mit Internetzugang installiert ist, müssen bei der Entwicklung von Flash-Anwendungen die erforderlichen Sicherheitsrichtlinien beachtet werden.

"Die Adobe Flash-Plattform wird zunehmend in großen Medienunternehmen und für geschäfts-kritische Anwendungen genutzt", sagt Brad Arkin, Director Produktsicherheit und Datenschutz im Adobe Secure Software-Entwicklerteam bei Adobe. "Das HP SWFScan-Tool unterstützt Flash-Entwickler dabei, potentielle Sicherheitslücken in einer frühen Phase der Entwicklung aufzudecken. So können sie Sicherheitsprobleme beheben, bevor die Webanwendungen zum Einsatz kommen."

Mit HP SWFScan können Entwickler

· bekannte Sicherheitslücken aufspüren, die sich Hacker zunutze machen – dazu gehören ungeschützte vertrauliche Daten, Cross-Site Scripting, Cross- Domain Privilege Escalation und nicht validierte Anwendereingaben,

· Sicherheitslücken im Quellcode schnell ermitteln und Methoden zu deren Beseitigung finden sowie

· die Konformität mit aktuellen Sicherheitsrichtlinien prüfen.

Sicherheitslücken identifizieren, beheben und vermeiden

HP SWFScan kann unter anderem Sicherheitslücken verhindern, die dadurch entstehen, dass vertrauliche Daten für Hacker zugänglich sind. Flash-Entwickler schaffen oft unbeabsichtigt eine Sicherheitslücke, indem sie Zugangsinformationen wie Passwörter, Verschlüsselungscode oder Datenbankinformationen direkt in ihre Anwendungen einbetten.

HP hat fast 4.000 Flash-Anwendungen analysiert – 35 Prozent davon verletzen die Adobe-Sicherheitsrichtlinien. Damit können Hacker Sicherheitsmassnahmen umgehen und erhalten uneingeschränkten Zugang zu sensiblen Daten. Diese Lücken können Entwickler mit HP SWFScan ermitteln und schließen, bevor sie zum Sicherheitsproblem werden.

"Anwendungen, die mit Flash-Technologien entwickelt werden, sind genauso anfällig für Sicherheitslücken wie jede andere Webapplikation", bemerkt Joseph Feiman, Vice President und Fellow bei Gartner. "Um Unternehmen und ihre Kunden besser vor Hackerangriffen zu schützen, müssen Flash-Entwickler ihren Code auf seine Sicherheit prüfen können. Außerdem benötigen sie eine Anleitung, wie Lücken zu beheben sind und müssen Zugriff auf die optimalen Methoden zur sicheren Programmierung haben."

Der HP Web Security Research Group, die SWFScan entwickelt hat, gehören viele renommierte Sicherheitsexperten an. Das Team analysiert Bedrohungen für die Sicherheit von Web-Anwendungen und entwickelt neue Technologien für IT-Experten zur Behebung von Sicherheits-lücken. Die Ergebnisse werden in HP Application Security Center integriert, eine Software-Suite, mit der Unternehmen Sicherheitslücken über den kompletten Applikations-Lebenszyklus identifizieren, beseitigen und verhindern können.

Die Grundlage von "HP Application Security Center" bildet die "HP Assessment Management Platform". Die Plattform umfasst die folgenden Software-Lösungen: "HP DevInspect" für Entwickler, "HP QAInspect" für Qualitätssicherungs-Teams und "HP WebInspect" für die Sicherheitsexperten und den IT-Betrieb. (Hewlett-Packard: ra)