Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren
Ebenso unterschiedlich wie die Einsatzszenarien digitaler Werkzeuge in Unternehmen ausfallen, so vielfältig gestalten sich die einhergehenden Sicherheitslücken und Fehlkonfigurationen. Oft ist dies hastig entwickelten Anwendungen oder einem zu schnellen Ausbau der IT-Infrastruktur geschuldet – zuweilen mit der Priorisierung Schnelligkeit vor Sicherheit. White-Hat-Hacker können hier mithilfe von Pentesting einen Ausweg bieten, um die Sicherheit trotz Zeitdruck nicht nur in Applikationen, sondern auch in Konfigurationen signifikant zu verbessern.
Unternehmen sind vernetzter als je zuvor. Die digitalen Produktions- und Lieferprozesse erfordern dabei eine wachsende Zahl von Datenverbindungen zu Lieferanten, Kunden und Partnerunternehmen. Gleichzeitig steigt aber die Komplexität der Unternehmens-IT durch neue Paradigmen und die Funktionsvielfalt der Infrastruktur, deren Anbindung und Zugriffsmöglichkeiten. Darüber hinaus ist aber auch das Thema Cybersicherheit zu einer der wichtigsten Prioritäten von Unternehmen geworden, waren doch 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entsprechend müssen sich die Unternehmen dringend darüber Gedanken machen: Wie lässt sich die IT-Infrastruktur besser vor Angriffen schützen?
Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.
IDOR als Negativbeispiel
Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.
Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.
Dabei bedarf es keines besonderes großen Aufwands von Seiten der Angreifer, denn IDOR-Attacken sind einfach auszuführen. Der Hacker manipuliert schlicht HTTP-Anfragen, indem er einen der Parameter ändert, um Zugriff auf die Informationen seiner Wahl zu erhalten. Ein solcher Angriff ist möglich, wenn Entwickler von Websites und Webapps einen zu direkten Zugriff auf Informationen erlauben, ohne die Folgen zu kontrollieren. IDOR-Attacken sind daher bei Hackern sehr beliebt und kommen entsprechend häufig zum Einsatz. Es gibt dabei jedoch nicht nur eine, sondern gleich mehrere Arten dieser Angriffsform. Dazu zählen unter anderem
Modifikation von Webseiten: Hacker sind in der Lage, den Wert eines Kontrollkästchens, einer Optionsschaltfläche, von APIs und Formularfeldern zu ändern, um auf diese Weise die Informationen von Website-Benutzern zu sammeln.
URL-Manipulation, bei der die URL des Clients durch Manipulation der Parameter der HTTP-Anfrage verändert wird.
HTTP-Anfragen, die IDOR-Schwachstellen beherbergen.
In ihrer einfachsten und häufigsten Form entsteht eine IDOR-Schwachstelle, wenn der Benutzer in der Lage ist, ohne Autorisierung auf Inhalte zuzugreifen und diese zu ersetzen. Wie problemlos das sein kann, hatte der White-Hat-Hacker Rojan Rijal 2018 bei Shopify nachgewiesen. Er achtete darauf, wie Dateianhänge beim Senden einer Anfrage an die Exchange-Marketplace-App von Shopify getaggt wurden. Aufgrund des Musters, dass sich sehr schnell herauskristallisierte, war er anschließend in der Lage, Dokumente mit demselben Dateinamen von verschiedenen Konten zu ersetzen.
Ein anderes Beispiel war eine Fehlkonfiguration bei der umstrittenen Social-Media- und Microblogging-Plattform Parler. Das Unternehmen nummerierte Beiträge in der URL, was ein Indikator für IDOR ist. Sobald also die zur Nummerierung verwendete Zahl innerhalb der URL eines Parler-Beitrags hochgezählt wurde, konnte man uneingeschränkt auf den nächsten Beitrag der Plattform zugreifen. Ohne Authentifizierung war es daher für einen Hacker problemlos möglich, ein Programm zu entwickeln, mit dem er die gesamten Nachrichten, Fotos, Videos und Daten der Website herunterladen konnte. Wenn es sich nur um öffentliche Nachrichten handelte, wurden auch die in den Nachrichten enthaltenen Geolokalisierungsdaten heruntergeladen. Dadurch waren die Wohnorte der Benutzer einsehbar. Probleme dieser Art sind nicht nur peinlich für das Unternehmen, sie können – durch entsprechende Bußgelder der Behörden – richtig teuer werden.
Automatisches Testen reicht nicht
Anhand dieser beiden realen Beispiele zeigt sich deutlich, dass falsche oder nicht ausreichende Systemkonfiguration ein erhebliches Sicherheitsrisiko darstellt. Was also tun? Es gibt zwar viele Werkzeuge, die dabei unterstützen Schwachstellen und Sicherheitslücken in den Systemen auszuspüren, aber es gibt – wie im Falle von IDOR – auch solche, bei denen Tools kaum helfen. Bei traditionellen Penetrationstests bleibt diese Art von Schwachstelle unbemerkt, wenn ein Pentest-Administrator nicht jeden denkbaren Parameter in jedem Abfrageendpunkt durchgeht. Darüber hinaus erfordert diese Form digitaler Attacken bei Cybersecurity-Teams besondere Kreativität und manuelle Sicherheitstests, um sie korrekt zu identifizieren.
Alternative zu traditionellen Sicherheitsmodellen
Nachdem Tools einfach nicht in der Lage sind, die menschliche Kreativität komplett abzubilden, stellt sich den Verantwortlichen somit die Frage, welche Optionen ihnen sonst noch zur Verfügung stehen. Die IT-Teams sind ohnehin ausgelastet genug. Als Folge der zusätzlichen Belastung könnte möglicherweise die Sorgfalt leiden, die bei dieser Aufgabe allerdings dringend geboten ist.
Eine sinnvolle Option ist daher zweifelsohne die unabhängige Überprüfung der Konfigurationen durch Experten – und zwar bevor die Konfigurationen in den produktiven Einsatz gehen. Geschieht das nicht, besteht durchaus die Gefahr, dass Kriminelle eventuell bestehende Sicherheitslücken eher finden und dann entweder selbst ausnutzen oder an den Meistbietenden versteigern. Doch wo findet man diese Experten und welche Mittel gilt es für die Zeit der Experten dann einzukalkulieren? Außerdem sollten diese Experten die Taktiken und Strategien der Hacker kennen, um die Sicherheit weiter zu verbessern. Bei diesen Überlegungen denken bis heute nur wenige Unternehmen daran, genau diejenigen anzusprechen, vor denen man sich eigentlich schützen will: Die Hacker.
Hacker als Helfer
Es gibt Hacker, die keine destruktive oder gar kriminelle Absichten verfolgen, die sogenannten White-Hat-Hacker. Der Kontakt zu diesen "guten" Hackern kommt in der Regel über Bug-Bounty-Plattformen wie HackerOne zustande. Diese agieren als Mittler zwischen den Unternehmen und den Hackern und sorgen dafür, dass beide Seiten von der Zusammenarbeit profitieren.
Entscheidet sich ein Unternehmen für diese Vorgehensweise, gestattet es den Hackern – je nach Vereinbarung und Ziel – beispielsweise Konfigurationen von Anwendungen, Websites, Apps oder auch Infrastrukturen auf Schwachstellen hin zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit er diese zeitnah beseitigen kann.
Die Bezahlung der Hacker erfolgt dabei nach einem vorher vereinbarten Prämienmodell, sodass Kosten nur dann entstehen, wenn die Hacker genau diesem ebenso vorab definierten Prozess folgen. Die Höhe der Prämie für ein gefundenes Sicherheitsproblem richtet sich dabei nach der Bedeutung und Schwere der Lücke – je gravierender das Problem, desto höher die Prämie. Für die Unternehmen entsteht durch diese Herangehensweise eine sehr skalierbare Methode, ihre Ausgaben und Kosten stets im Blick zu behalten. Es bedarf keines zusätzlichen Personals , sondern Unternehmen vergeben die Tasks an externe Experten.
Hacken mit Vertrag
Allerdings ist das, was die Hacker im Auftrag der Unternehmen vorhaben, rechtlich zunächst nicht ohne weiteres möglich. Entsprechend müssen sich beide Parteien juristisch absichern, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Diese sind elementarer Bestandteil des Vertrags, den ein Unternehmen nicht mit jedem Hacker individuell vereinbaren muss, sondern dies übernimmt die Bug-Bounty-Plattform.
Darüber hinaus sollte sich die Umgebung, in der die Hacker versuchen sollen, die Systeme zu knacken, so realitätsnah wie möglich sein. Das bedeutet, dass die White-Hat-Hacker keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch in der Organisation die Expertise, um diese Schwachstellen und andere potenzielle Einfallstore zu schließen.
White-Hat-Hacker als externe Beteiligte sind Experten auf ihrem Gebiet und versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Ein Unternehmen sichert sich also mehrfach ab und erspart sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten. Darüber hinaus lässt sich so nicht nur die eigene IT-Infrastruktur schützen, sondern auch die der Kunden und Partner. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht.
Fazit
Für viele Unternehmen ist es bis heute nahezu unvorstellbar, mit Hackern zu kooperieren. Dabei gibt es viele, denen Hacken einfach Spaß macht und die keinerlei böse Absichten verfolgen. Plattformen wie HackerOne bieten zudem vertraglichen Schutz und kennen die wahren Identitäten der Hacker. Es spricht also nichts dagegen, das Engagement und Interesse dieser White-Hat-Hacker mittels Pentests und Prämien für die Verbesserung der Sicherheit des eigenen Unternehmens zu nutzen.
Autor: Laurie Mercer, Security Engineer bei HackerOne