Ethische Hacker: Lücken finden, bevor es andere tun

Laurie Mercer schildert in seinem Gastbeitrag, wie Unternehmen mit White Hat Hackern in Kontakt kommen können und noch vielmehr, wie sie diese Zusammenarbeit sinnvoll gestalten können. White Hat Hacker sind Spezialisten auf ihrem jeweiligen Gebiet und können mit einem kreativen und technischen Ansatz Sicherheitslücken finden und dokumentieren, bevor andere es tun.

Mit der sich zunehmend weiterentwickelnden digitalen Transformation von Wirtschaft und Gesellschaft steigt zwangsläufig auch der Grad der Vernetzung. Gerade in der Geschäftswelt lassen sich immer mehr Verbindungen hin zu Partnerunternehmen, Lieferanten und Kunden beobachten. Gleichzeitig nimmt die Komplexität der IT-Infrastrukturen immer weiter zu – nicht zuletzt aufgrund neuer Paradigmen sowie immer neuer Funktionen, die von den Systemen bereitgestellt werden. Daher spielt Cybersecurity eine zunehmend wichtigere Rolle, auch, weil das Bedrohungspotenzial stetig zunimmt: Schon 2019 kam eine Studie des Bitkom zu dem Ergebnis, dass drei von vier Unternehmen Ziel von Cyberkriminellen wurden. Seither hat sich die Situation nicht entspannt – ganz im Gegenteil. Dass sich Unternehmensverantwortliche daher nun verstärkt Gedanken hinsichtlich der Verbesserung der IT-Sicherheit machen, ist daher kaum verwunderlich.

Hersteller sind zwar im Regelfall darauf konzentriert, dass ihre Lösungen bereits ab Werk sicher sind, allerdings ist es mit der Sicherheit der Lösung, die „ab Werk“ integriert ist, alleine nicht getan. Denn auch die Implementierung im Anwenderunternehmen und die entsprechende Konfiguration der Software spielt in der Gesamtbetrachtung eine große Rolle. Und genau dies ist häufig der Knackpunkt, wenn es darum geht, Software-Lösungen im Unternehmen sicher zu betreiben.



Sicherheitsrisiken durch Fehlkonfigurationen

Wie häufig Falsch- bzw. Fehlkonfigurationen tatsächlich die Sicherheit von Unternehmen bedrohen, dazu gibt es nur wenige verlässliche Daten. Jedoch lassen die Webauftritte von Organisationen, die einen eigenen Online-Shop betreiben, darauf schließen, dass auch fernab der Quellcodes von Software Sicherheitsrisiken zu finden sind – wie ein Blick auf die Konfigurationen verrät.

In diesem Zusammenhang ist insbesondere IDOR (Insecure Direct Object Reference) ein gutes Beispiel. Hier handelt es sich um eine Fehlkonfiguration in der Zugriffskontrolle, bei der ein direkter Zugriff auf eine interne Datenbank erfolgt und dieser nicht authentifiziert bzw. kontrolliert wird. Nicht selten findet sich dieser Fehler in Web-Apps oder APIs. Angreifern wird es dadurch relativ einfach gemacht, diesen Fehler in ihrem Sinne auszunutzen. Haben Nutzer beispielsweise die Möglichkeit, Inhalte einer Web-Plattform zu ersetzen, kann dies bei einer fehlerhaften Konfiguration dazu führen, dass ein Cyberkrimineller das Verhalten der Plattform ändert, Daten stiehlt oder die Plattform sogar für die Verbreitung von Malware nutzt.

Die Anstrengungen, die Angreifer hierzu unternehmen müssen, halten sich dabei in Grenzen, denn IDOR-Attacken lassen sich einfach umsetzen. Denn es werden HTTP-Anfragen lediglich durch die Veränderung eines Parameters manipuliert. Auf diese Weise gelangt ein Cyberkrimineller an die entsprechenden Informationen. Voraussetzung dafür ist, dass bei der Erstellung von Webseiten oder Web-Apps zu wenig darauf geachtet wird, dass Zugriffe auf Informationen auch kontrolliert werden müssen. Bei böswilligen Hackern sind IDOR-Attacken sehr beliebt und diese können daher relativ oft bei tatsächlichen Angriffen festgestellt werden. Jedoch existieren verschiedene Ausprägungen dieser Angriffsform. Dazu zählen unter anderem:

  • Website- Modifikation: Hier sind Hacker in der Lage, den Wert einer Optionsschaltfläche, eines Kontrollkästchens, von APIs und Formularfeldern zu ändern, um so sich so Zugang zu Informationen von Website-Benutzern zu verschaffen.
  • URL-Manipulation: Dabei wird die URL des Clients durch Veränderung von Parametern der HTTP-Anfrage manipuliert.
  • HTTP-Anfragen: Diese können IDOR-Schwachstellen beinhalten.

Als Beispiel für eine bekanntgewordene IDOR-Schwachstelle kann hier auf die mitunter höchst umstrittene Social-Media- und Microblogging-Plattform Parler verwiesen werden. Diese hatte vor einigen Monaten mit einem umfassenden Datenleck zu kämpfen. Grund dafür war die sichtbare, aufsteigende Nummerierung der URLs von Beiträgen auf dem Dienst – ein meist eindeutiges Indiz für eine IDOR-Schwachstelle. Für Webseitenbesucher war es somit möglich, durch die Veränderung der Nummerierung in der URL jeden beliebigen Beitrag ohne Einschränkungen abzurufen.

Ein Hacker konnte daher – mit nur sehr geringem Aufwand – einen Code schreiben, mit dessen Hilfe jegliche Nachrichten, Bilder, Videos und sonstige Daten von Parler heruntergeladen wurden. Im Falle öffentlicher Beiträge konnten zudem sogar die Geodaten der Autoren abgegriffen werden, was die Wohnorte der Betreffenden offenbarte. Derlei Sicherheitslücken tragen nicht nur zur Rufschädigung einer für eine Webseite verantwortlichen Organisation bei, sondern können auch finanzielle Folgen nach sich ziehen. So zum Beispiel, wenn beim Diebstahl von Daten auch personenbezogene Daten erbeutet werden und in der Folge Strafen der Aufsichtsbehörden drohen.

Schwächen automatischer Tests

Doch wie lassen sich Sicherheitslücken vermeiden? Eine Frage, die sich viele Security-Verantwortliche stellen. In diesen Zusammenhang gibt es zwar eine ganze Reihe von Tools, die jedoch – wie im Falle von IDOR-Lücken – wenig oder nur begrenzt hilfreich sind. Selbst traditionelles Pentesting kann hier nur von Erfolg gekrönt sein, sofern der jeweilige Tester alle nur möglichen Parameter in sämtlichen Abfragepunkten prüft. Für die Sicherheitsverantwortlichen sind solche Angriffsversuche ferner eine Herausforderung und verlangen ihnen einiges ab. Denn ihre Verhinderung bedarf einem hohen Maß an Kreativität sowie zahllose Security-Tests. Nur so lassen sich derartige Schwachstellen identifizieren.

Hilfe kommt aus der White-Hat-Community

Technische Lösungen bieten kurz- und mittelfristig betrachtet keine Abhilfe, wenn es um die Behebung von Schwachstellen geht, da sie schlicht nicht den Einfallsreichtum und Kreativität von Menschen abbilden können. Die Verantwortlichen müssen somit neue Wege bestreiten, um sich dem Problem zu widmen. Nicht selten sind die IT-Teams der Unternehmen allerdings bereits vollends ausgelastet. Ihnen eine zusätzliche Aufgabe zuzumuten, die noch dazu ein hohes Maß an Sorgfalt erfordert, würde zwangsläufig zu einer Überforderung führen. Was also tun?

Abhilfe können hier unabhängige Profis bieten, die die Prüfung von Konfigurationen übernehmen – verständlicherweise vor dem Produktivbetrieb. Denn geschieht die Identifizierung von Schwachstellen erst im laufenden Betrieb, kann es bereits zu spät sein und ein Cyberkrimineller war schneller. Dies kann zur Folge haben, dass die Sicherheitslücke unter Umständen gewinnbringend versteigert wird.

Für Unternehmen ist es mitunter jedoch nicht einfach, mit entsprechenden Experten in Kontakt zu kommen. Auch wissen sie oft nicht, welche Budgets für externe Security-Leistungen einzuplanen sind.

Nur den wenigsten kommt in diesem Zusammenhang in den Sinn, dass für eine solche Aufgabe genau diejenigen am ehesten in Frage kommen, vor denen sich Unternehmen im Regelfall zu schützen versuchen: Hacker. Denn es gibt nicht nur Hacker, die in illegaler Absicht agieren. Neben Cyberkriminellen gibt es auch die sogenannten White-Hat-Hacker, also ethische Hacker, die zur Steigerung der Cybersicherheit beitragen können – und was noch wichtiger ist, dies auch wollen. Deren Kreativität und Fachkenntnis kann bei der Identifizierung von Schwachstellen in Unternehmen einen unschätzbaren Beitrag leisten.

Ethische Hacker tragen zur Sicherheit bei

Es ist vergleichsweise einfach, diese ethischen Hacker zu finden und mit ihnen in Kontakt zu treten. Voraussetzung dafür ist jedoch, dass man weiß, wo man suchen muss. An dieser Stelle kommen Bug-Bounty-Plattformen wie HackerOne ins Spiel. Diese dienen in der Praxis als Mittler zwischen Unternehmen und den White-Hat-Hackern. Außerdem gehört es zu ihren Aufgaben, dass alle Parteien von der gemeinsamen Arbeit profitieren.

Wenn sich eine Organisation dazu entschließt, auf die Hilfe von Hackern zu setzen, wird diesen gestattet – in Abhängigkeit der individuellen Vereinbarung und der Ziele – beispielsweise die Konfiguration von Anwendungen, Apps, Webseiten oder gar der gesamten Infrastruktur bezüglich etwaiger Schwachstellen zu untersuchen. Die Vergütung der Hacker orientiert sich an einem vorab vereinbarten Prämienmodell. Für ein Unternehmen entstehen folglich nur dann Kosten, sofern Hacker bei ihrer Suche auch auf Sicherheitslücken stoßen und diese entsprechend der festgelegten Verfahrensweise melden. Die Prämienhöhe richtet sich für gewöhnlich danach, wie schwerwiegend eine gefundene Schwachstelle ist – je gravierender die Lücke, desto höher die Prämienzahlung.

Ein weiterer Vorteil für die Organisationen ist die Skalierbarkeit des Ansatzes. Auf diese Weise lassen sich die Ausgaben und Kosten stets nachvollziehen und überblicken. Zudem müssen keine neuen Mitarbeiter eingestellt werden, da nun externe Fachleute das Aufspüren von Sicherheitslücken übernehmen.

Rechtlich auf der sicheren Seite

Grundsätzlich ist die Vorgehensweise von Hackern – also ein Einbruch in fremde Systeme – per se illegal. Daher muss für beide Seiten zunächst eine rechtliche Absicherung erfolgen und es muss vereinbart werden, was genau die Hacker dürfen und was nicht. Solche Vereinbarungen werden auf Basis sogenannter VDPs (Vulnerability Disclosure Program) getroffen. Diese VDPs bilden ein zentrales Element der Verträge zwischen Hackern und der jeweiligen Organisation. Dies spart den Unternehmen Zeit, da nicht mit jedem Hacker ein individueller Vertrag geschlossen werden muss – dies übernimmt die Bug-Bounty-Plattform.

Die Umgebung, in der die so rekrutierten White Hats versuchen, die Systeme der Organisation zu kompromittieren, muss so weit wie möglich den realen Gegebenheiten entsprechen. Die Hacker müssen also die gleichen Voraussetzungen für ihre Tests haben, wie sie auch kriminelle Hacker vorfinden würden. So lässt sich gewährleisten, dass eine entdeckte Sicherheitslücke auch bei einem realen Angriff das Eindringen von Unbefugten zur Folge hätte und eine Behebung der Schwachstelle notwendig ist. Zudem ermöglicht dies den Security-Verantwortlichen aufseiten der Organisation einen Einblick darin, welche Auswirkungen eine Attacke nach sich ziehen würde.

Sobald der Hacker eine Sicherheitslücke entdeckt, erstellt er eine umfassende Dokumentation, die das Unternehmen sodann zur Behebung der Schwachstelle nutzen kann. Durch diese Dokumentation profitiert eine Organisation nicht nur von den Informationen zur Schwachstelle selbst, sondern auch vom Know-how der Hacker, sodass ähnliche Lücken in Zukunft vermieden werden können.

Bei den Hackern, auf die die Unternehmen so zurückgreifen können, handelt es sich um ausgewiesene Experten auf ihrem Gebiet. Ebenso wie kriminelle Hacker sind sie in der Lage, Sicherheitslücken zu identifizieren und Systeme zu kompromittieren. Doch anders als ihr kriminelles Pendant tragen sie mit ihrem Tun zur Stärkung der IT-Sicherheit bei und leisten so einen wichtigen Beitrag zum Schutz von Unternehmen – auch von deren Kunden. Mittels dieses Ansatzes lassen sich zudem ein drohender Reputationsverlust sowie etwaige Strafzahlungen in Folge einer erfolgreichen Cyberattacke vermeiden.

Autor:

Laurie Mercer ist Security Engineer bei HackerOne. Er verfügt über einen starken technischen Hintergrund, da er sowohl als Entwickler als auch als Penetrationstester gearbeitet hat. Zuletzt arbeitete er als Solution Engineer für große SAST-Programme.

Weitere Informationen unter:
https://www.hackerone.com/