VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

APIApp-Entwickler stehen unter einem enormen Druck: Sie müssen innovative Lösungen in immer kürzerer Zeit produzieren, möglichst noch bei geringeren Kosten. Deswegen ist es auch nicht weiter verwunderlich, dass APIs (Application Program Interfaces) immer beliebter werden und mittlerweile zu den Standard-Tools im Entwickler-Repertoire gehören, da sie die Entwicklung erleichtern und den Zeitaufwand deutlich reduzieren.


Eine API ist im Grunde ein Set von Befehlen oder Routinen zur Erledigung spezifischer Aufgaben oder zur Interaktion mit einem anderen System. APIs sind dabei in der Lage, Daten abzurufen oder Prozesse zu initiieren. Entwickler können verschiedene APIs in ihre Software integrieren und auf diese Weise auch komplexe Aufgabenstellungen bewältigen.


Dieser Ansatz hat die Software-Industrie nahezu revolutioniert. Anstatt jeden Aspekt der Software „von Null“ zu programmieren, können Entwickler aus einem immer größer werdenden Angebot an best-of-breed APIs wählen und sie problemlos in ihre Projekte – wie Legosteine – einbauen. Dies reduziert die Entwicklungszeit und die Kosten enorm. Gleichzeitig können die Programmierer sich auf innovative und einzigartige Features konzentrieren, die ihre Applikation herausragend machen. 


APIs sind so nützlich und gefragt, dass einige große Unternehmen bereits einen Großteil ihrer Umsätze durch sie erzielen. So hat eine Untersuchung der Harvard Business Review ergeben, dass Salesforce rund die Hälfte seines Umsatzes durch APIs erzielt, während Expedia die Schnittstellen nutzt um rund 90 Prozent der Einnahmen zu generieren – bei eBay liegt der Anteil bei ca. 60 Prozent. Neben diesen großen Anbietern gibt es noch zahlreiche Spezialisten auf diesem Gebiet, die sicherstellen, dass Entwicklern für nahezu jede denkbare Aufgabenstellung eine entsprechende API zur Verfügung steht – momentan mehr als 14.000! Doch bei all den strategischen Vorteilen und der zunehmenden Nützlich- und Bequemlichkeit, bergen APIs aber auch Risiken, insbesondere wenn Applikationen sie zur Kommunikation mit Servern nutzen und dabei einfache Authentifizierungen oder Challenge-Response- Austausch nutzen.

Große Gefahren

Einfache Authentifikation wird von den meisten API-Management-Lösungen zur Bestätigung genutzt, dass die Client-App auf einem Mobilgerät authentisch ist und auf den Server zugreifen darf. In aller Regel geschieht dies über einen einfachen, verschlüsselten Challenge-Response- Austausch, wenn die Client-App sich mit dem API-Server verbinden will. Dafür verfügt der mobile Client über einen Schlüssel für asymmetrische Chiffrierung wie RSA oder ECC.

Wenn es nun Hackern gelingt, den Schutz der App zu überwinden und ihren Code zu dekompilieren, können sie die Verschlüsselungs-Schlüssel freilegen. Jede Applikation die heruntergeladen werden kann, ist auf diese Weise bedroht, da sie so lange attackiert werden kann bis eine Schwachstelle gefunden wurde. Wenn die Schlüssel schließlich gefunden wurden, können sie von den Hackern dazu genutzt werden, dem entsprechenden System vorzumachen, es handle sich um legitime Clients. Auf diese Weise haben sie Zugang zu allem, wozu die API autorisiert ist. So könnte eine API die auf den Backend-Server Zugang hat, dazu genutzt werden, sensible Daten abzugreifen.

Stärkerer Schutz

Um diese Schwachstellen abzusichern, müssen besondere Sicherheitsmaßnahmen bei der Challenge-Response-basierten Authentifizierung getroffen werden. Am effektivsten ist es, sich auf den Schutz der kryptographischen Schlüssel zu konzentrieren. Hierbei ist vor allem die Whitebox-Kryptographie eine erfolgreiche Methode: Sie ist in der Lage, die Schlüssel selbst dann sicher zu verwahren, wenn Hacker vollen Zugang zur Software haben. Dabei wird der Original-Schlüssel durch eine Falltür-Funktion, also eine einseitige, nicht-reversible Funktion, in ein neues Format konvertiert. Dieses neue Schlüsselformat kann nur mit der entsprechenden White-box-Verschlüsselungssoftware genutzt werden, wodurch der Schlüssel effektiv geschützt ist. Somit kann der Hacker den genutzten Schlüssel für den Challenge-Response-Austausch nicht finden.

Doch ist dies längst nicht ausreichend: Whitebox-Verschlüsselung „versteckt“ den Schlüssel zwar effektiv, jedoch könnte der Angreifer die Original-Applikation dekompilieren und so modifizieren, dass das gesamte Whitebox-Paket entfernt und in die bösartige, geklonte Version integriert wird (Code-lifting). Zum Schutz vor hartnäckigen Hackern sollten entsprechend zusätzlich Anti-Tamper-Techniken zum Schutz vor Code-Extraktions-Attacken und Modifikationen der App eingesetzt werden. Anti-Tamper-Techniken, die RASP (Runtime Application Self-Protection) integriert haben, können auf Laufzeit- Angriffe mit individuell festgelegten Aktionen reagieren und den App-Betreiber darüber informieren, dass seine Applikation modifiziert wurde.

Indem man zusätzliche Schutzmaßnahmen ergreift, kann sichergestellt werden, dass APIs, auf sichere Art und Weise mit Netzwerken und anderen Applikationen kommunizieren. Entwickler können so guten Gewissens APIs einsetzen und von den zahlreichen Vorteilen und Chancen profitieren, ohne ihre Kunden Gefahren auszusetzen.  

Markus Unger-Schlegel, Regional Sales Manager bei Arxan

www.arxan.com/de
 

GRID LIST
Tb W190 H80 Crop Int C642ab343b9d4c6ebbd4ac47bfb56451

Commvault vereinfacht Portfolio mit Komplettlösung

Commvault (NASDAQ: CVLT) simplifiziert sein Portfolio sowie seine Preisgestaltung, um den…
Tb W190 H80 Crop Int C7ec4121533b0efd43b60d6b621b8f97

MapR Update mit AI- und Analyse-Unterstützung

Das Major-Plattform-Update von MapR umfasst wichtige Innovationen, welche die Data Fabric…
Tb W190 H80 Crop Int Fda2273b8197dcd0b3a63df08c93c2b1

Etikettensoftware: Für jeden Zweck das richtige Produkt

Etiketten sind in Handel und Logistik unersetzlich. Sie ermöglichen die eindeutige…
Tb W190 H80 Crop Int Edfb0446c4d7b02ec6e9e4f9acaf3aad

Neues Release von iFinder5 elastic

IntraFind präsentiert die Version 5.2 von iFinder5 elastic. Die zentrale Neuerung der…
Tb W190 H80 Crop Int 9b4731a254f5866959e73e601ec536d6

objectiF RPM 4.3: Framework für digitale Transformation

microTOOL hat die Version 4.3 der Application Lifecycle Management Software objectiF RPM…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

ALM Software objectiF RPM erscheint in Version 4.3

MicroTOOL GmbH veröffentlicht die Version 4.3 von objectiF RPM, einer Software für das…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security