von Redaktion IT-A…
Lesezeit
2 Minuten
Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren
Ebenso unterschiedlich wie die Einsatzszenarien digitaler Werkzeuge in Unternehmen ausfallen, so vielfältig gestalten sich die einhergehenden Sicherheitslücken und Fehlkonfigurationen. Oft ist dies hastig entwickelten Anwendungen oder einem zu schnellen Ausbau der IT-Infrastruktur geschuldet – zuweilen mit der Priorisierung Schnelligkeit vor Sicherheit. White-Hat-Hacker können hier mithilfe von Pentesting einen Ausweg bieten, um die Sicherheit trotz Zeitdruck nicht nur in Applikationen, sondern auch in Konfigurationen signifikant zu verbessern.
Unternehmen sind vernetzter als je zuvor. Die digitalen Produktions- und Lieferprozesse erfordern dabei eine wachsende Zahl von Datenverbindungen zu Lieferanten, Kunden und Partnerunternehmen. Gleichzeitig steigt aber die Komplexität der Unternehmens-IT durch neue Paradigmen und die Funktionsvielfalt der Infrastruktur, deren Anbindung und Zugriffsmöglichkeiten. Darüber hinaus ist aber auch das Thema Cybersicherheit zu einer der wichtigsten Prioritäten von Unternehmen geworden, waren doch 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entsprechend müssen sich die Unternehmen dringend darüber Gedanken machen: Wie lässt sich die IT-Infrastruktur besser vor Angriffen schützen?
Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.
IDOR als Negativbeispiel
Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.
Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.
Dabei bedarf es keines besonderes großen Aufwands von Seiten der Angreifer, denn IDOR-Attacken sind einfach auszuführen. Der Hacker manipuliert schlicht HTTP-Anfragen, indem er einen der Parameter ändert, um Zugriff auf die Informationen seiner Wahl zu erhalten. Ein solcher Angriff ist möglich, wenn Entwickler von Websites und Webapps einen zu direkten Zugriff auf Informationen erlauben, ohne die Folgen zu kontrollieren. IDOR-Attacken sind daher bei Hackern sehr beliebt und kommen entsprechend häufig zum Einsatz. Es gibt dabei jedoch nicht nur eine, sondern gleich mehrere Arten dieser Angriffsform. Dazu zählen unter anderem
Ein anderes Beispiel war eine Fehlkonfiguration bei der umstrittenen Social-Media- und Microblogging-Plattform Parler. Das Unternehmen nummerierte Beiträge in der URL, was ein Indikator für IDOR ist. Sobald also die zur Nummerierung verwendete Zahl innerhalb der URL eines Parler-Beitrags hochgezählt wurde, konnte man uneingeschränkt auf den nächsten Beitrag der Plattform zugreifen. Ohne Authentifizierung war es daher für einen Hacker problemlos möglich, ein Programm zu entwickeln, mit dem er die gesamten Nachrichten, Fotos, Videos und Daten der Website herunterladen konnte. Wenn es sich nur um öffentliche Nachrichten handelte, wurden auch die in den Nachrichten enthaltenen Geolokalisierungsdaten heruntergeladen. Dadurch waren die Wohnorte der Benutzer einsehbar. Probleme dieser Art sind nicht nur peinlich für das Unternehmen, sie können – durch entsprechende Bußgelder der Behörden – richtig teuer werden.
ln/Laurie Mercer, Security Engineer bei HackerOne
Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.
IDOR als Negativbeispiel
Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.
Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.
Dabei bedarf es keines besonderes großen Aufwands von Seiten der Angreifer, denn IDOR-Attacken sind einfach auszuführen. Der Hacker manipuliert schlicht HTTP-Anfragen, indem er einen der Parameter ändert, um Zugriff auf die Informationen seiner Wahl zu erhalten. Ein solcher Angriff ist möglich, wenn Entwickler von Websites und Webapps einen zu direkten Zugriff auf Informationen erlauben, ohne die Folgen zu kontrollieren. IDOR-Attacken sind daher bei Hackern sehr beliebt und kommen entsprechend häufig zum Einsatz. Es gibt dabei jedoch nicht nur eine, sondern gleich mehrere Arten dieser Angriffsform. Dazu zählen unter anderem
- Modifikation von Webseiten: Hacker sind in der Lage, den Wert eines Kontrollkästchens, einer Optionsschaltfläche, von APIs und Formularfeldern zu ändern, um auf diese Weise die Informationen von Website-Benutzern zu sammeln.
- URL-Manipulation, bei der die URL des Clients durch Manipulation der Parameter der HTTP-Anfrage verändert wird.
- HTTP-Anfragen, die IDOR-Schwachstellen beherbergen.
Ein anderes Beispiel war eine Fehlkonfiguration bei der umstrittenen Social-Media- und Microblogging-Plattform Parler. Das Unternehmen nummerierte Beiträge in der URL, was ein Indikator für IDOR ist. Sobald also die zur Nummerierung verwendete Zahl innerhalb der URL eines Parler-Beitrags hochgezählt wurde, konnte man uneingeschränkt auf den nächsten Beitrag der Plattform zugreifen. Ohne Authentifizierung war es daher für einen Hacker problemlos möglich, ein Programm zu entwickeln, mit dem er die gesamten Nachrichten, Fotos, Videos und Daten der Website herunterladen konnte. Wenn es sich nur um öffentliche Nachrichten handelte, wurden auch die in den Nachrichten enthaltenen Geolokalisierungsdaten heruntergeladen. Dadurch waren die Wohnorte der Benutzer einsehbar. Probleme dieser Art sind nicht nur peinlich für das Unternehmen, sie können – durch entsprechende Bußgelder der Behörden – richtig teuer werden.
| Seite 1 von 2 | Nächste Seite >> |
ln/Laurie Mercer, Security Engineer bei HackerOne
