Schutz vor akuten und zukünftigen Cyber-BedrohungenMit Security Testing Angreifern einen Schritt voraus
14. Dezember 2020Das Schlimmste, was ein Security-Tester tun kann, ist stillzustehen. Cyber-Kriminelle wechseln häufig die Taktiken und entwickeln neue Ideen. Deshalb muss der Tester stets mit den neuen Entwicklungen Schritt halten und die neuen Ideen antizipieren. Um einen Einblick in die verschiedenen Testverfahren zu bekommen, werden im Folgenden einige aktuelle Trends aus der Praxis und deren Vorteile erläutert.
Ob On-Premises, in der Cloud, auf Mobil- oder IoT-Geräten – Anwendungen und Netzwerkprotokolle sind beliebte Angriffsziele von Cyber-Kriminellen. Trustwave-Experten testen Webanwendungen ausführlich auf Schwachstellen und Fehler, die zu Kompromittierungen führen können. Jede Anwendung mit einer öffentlich zugänglichen Komponente kann zum Ziel eines innovativen Angreifers werden, der nach einem verborgenen Einfallstor sucht. Automatisierte Tests allein erfassen diese Schwächen möglicherweise nicht immer.
Alle mit dem Internet verbundenen Geräte und Systeme, unabhängig von Funktion, Formfaktor oder Standort, sind auf eine Reihe von Low-Level-Protokollen angewiesen. Auf diese zielen Angreifer häufig ab, nicht nur, um sie auszunutzen, sondern vielmehr auch für die Durchführung eigener Angriffe.
Ein Beispiel: Der Domain Name Service (DNS), der den Domain-Namen zu numerischen IP-Adressen zuordnet, ist einer der wichtigsten Grundbausteine des Internets. Beim Zugriff auf ein System beginnt der Angreifer häufig mit einer DNS-Abfrage, um eine Liste der Server und anderer Ressourcen im Netzwerk zu erhalten. Es ist schwer, diese Abfragen vom legitimen Netzverkehr zu unterscheiden. Aber mit den geeigneten Verfahren ist es möglich, ein Frühwarnsystem aufzubauen, das den Verantwortlichen hilft, den Angriff zu stoppen, bevor er beginnt.
Vulnerability Chaining
Verkettete Schwachstellen sind ein weiteres Problem, das Security-Tester leichter erkennen können als automatisierte Tools. So können Scanner Web-Applikationen auf eine breite Palette von Schwachstellen und andere Probleme überprüfen und ihnen Risikolevel zuordnen.
Ein versierter Angreifer hingegen kann eine Webseite kompromittieren, indem er geringe und schwerwiegende Schwachstellen verkettet. Einzeln würden diese Schwachstellen nicht unbedingt eine Bedrohung darstellen, aber zusammen dienen sie einem Angreifer, um sich unberechtigten Zugang zu einem System und potenziell sensiblen Daten zu beschaffen.
In der Praxis erlauben zum Beispiel viele Webseiten, Usern Sicherheitsfragen zu beantworten, um ihre Passwörter oder ihr Log-in von unbekannten Geräten zurückzusetzen. Im Jahr 2019 entdeckte ein Pen-Tester von Trustwave, dass die Sicherheitsfrage auf einer Kunden-Webseite es ermöglichte festzustellen, ob ein Kontoname auf der Seite existiert. Jedes Mal, wenn der Tester einen nicht-existierenden Kontonamen nutzte, stellte die Seite eine andere Frage. Wenn das Konto existierte, stellte die Seite immer wieder dieselbe Frage.
Der Tester verwendete statistisch häufig genutzte Benutzernamen, um eine Liste der bestehenden Konten und der damit verbundenen Sicherheitsfragen zusammenzustellen. Viele dieser Kontoinhaber wählten die Frage: „Was ist Ihre Lieblingsfarbe?“ Diese Frage ist aus Sicherheitsgründen nicht empfehlenswert, da die meisten Kontoinhaber gängige Farben für ihre Antworten verwenden.
Beim Brute-Forcing der Antworten erhielt der Tester Zugriff auf den zurückgesetzten Passwort-Screen für mehrere Konten – was eine weitere Schwachstelle aufdeckt. Eine sicherere Applikation würde einen Link zum Zurücksetzen des Passworts an die E-Mail-Adresse senden, die für das Konto hinterlegt ist. Im anderen Fall würde das System der Webseite dem Angreifer vollständige Kontrolle über das kompromittierte Konto ermöglichen.
Jede dieser einzelnen Schwächen – leicht zu erratende Kontonamen, eine Sicherheitsfrage pro Konto, schwache Sicherheitsfragen, Passwort zurücksetzen via Bildschirmeingabe – wird unter Umständen nicht als kritisch betrachtet oder möglicherweise nicht von automatisierten Tools erkannt. Ein fachkundiger Angreifer jedoch könnte sie kombinieren, um mehrere Konten schnell und ohne Verwendung eines schadhaften Code-Exploit zu kompromittieren. Security Testing ermöglicht es Sicherheitsexperten, solche Probleme zu finden und zu entschärfen.
Open-Source Intelligence (OSINT)
Der Aufstieg von Social Media führt dazu, dass eine Generation von Menschen ihr Leben online offenlegt. Dies hat zu einem Überfluss an Open-Source-Intelligence (OSINT)-Informationen über Menschen, Orte und Organisationen aus öffentlich zugänglichen Quellen geführt, die für Spionagezwecke genutzt werden.
Zum Beispiel: Ein stolzer neuer Mitarbeiter könnte ein Bild seines Ausweises bei Facebook posten und zur LinkedIn-Seite verlinken, die die Berufsbezeichnung und den Arbeitsort anzeigt. Darüber hinaus sind viele Daten aus Sicherheitslecks, Verstößen und Veröffentlichungen auch im Internet und im Dark Web verfügbar.
Angreifer kennen diese Quellen und können auf diese Weise Informationen schnell sammeln, analysieren und einsetzen. Was früher Wochen und Monate dauerte, kann nun in wenigen Stunden erfolgen.
AttackSurfaceMapper (ASM)
Beim AttackSurfaceMapper (ASM) handelt es sich um ein Open-Source Tool, entwickelt von den Penetration-Testern des SpiderLabs-Teams von Trustwave. Dieses automatisiert das Sammeln von Informationen über eine Domäne aus OSINT-Quellen und aus aktiven Untersuchungsmethoden.
Bei einem Domain-Namen oder einer Liste von IP-Adressen kompiliert ASM Informationen aus Quellen wie DNS-Records, WHOIS, sozialen Netzwerken, Informationen zu Datenbankverstößen und Passwort-Dumps etc., um ein Bild der Angriffsfläche der Domain und der potentiellen Schwächen zu erstellen. Ein solches Tool unterstützt den Pen-Tester, in kurzer Zeit alle relevanten Daten zu sammeln, die für einen ausführlichen Test erforderlich sind. Der AttackSurfaceMapper steht kostenfrei zum Download auf GitHub zur Verfügung.
Fred Tavas ist Country Manager für die Bereiche DACH und CEE bei Trustwave.