Sicherheitslücken mit Open-Source-Tools aufspüren Die besten quelloffenen Schwachstellen-Scanner

Autor / Redakteur: Anna Kobylinska und Filipe Martins / Peter Schmitz

Cyber-Vorfälle können für ein Unternehmen vernichtend sein, doch nicht alle Organisationen haben tiefe Taschen für vorbeugende Maßnahmen. Zum Glück sind einige der innovativsten Lösungen zum Aufspüren von Schwachstellen als Open Source frei verfügbar.

Firma zum Thema

Quelloffene Schwachstellenscanner können helfen, die Cyber-Risiken in einer verteilten IT-Umgebung zu erkennen und zu beheben.
Quelloffene Schwachstellenscanner können helfen, die Cyber-Risiken in einer verteilten IT-Umgebung zu erkennen und zu beheben.
(© Imillian - stock.adobe.com)

Cyber-Verwundbarkeiten wachsen den Unternehmen über den Kopf hinaus. Die hohe Innovationsdynamik und die Notwendigkeit, kontinuierlich neue Prozesse zu implementieren, fordern eine nie dagewesene Agilität und schaffen damit zwangsweise neue Sicherheitslücken.

Mit dem Aufkommen hyper-agiler Anwendungsentwicklung (Stichwort DevOps/DevSecOps), neuer, Cloud-nativer Softwarearchitekturen und Infrastruktur als Code mehren sich Angriffsvektoren gegen die Unternehmens-IT auf jeder Ebene des Stacks einer Bereitstellung. Ein Vulnerability Scanner ist Pflicht – selbst dann, wenn er nichts kosten darf.

WireShark

Netzwerkpaketanalyse mit WireShark.
Netzwerkpaketanalyse mit WireShark.
(Bild: Wireshark.org)

WireShark ist wohl das bekannteste quelloffene Paket-Analysewerkzeug für das Troubleshooting der Konnektivität und die Entwicklung von Software- und Kommunikationsprotokollen. Mit diesem Werkzeug lässt sich der Netzwerkverkehr in Echtzeit erfassen, laufen aus gzip dekomprimieren, bei Bedarf ggf. entschlüsseln und eingehend untersuchen.

Es liest und schreibt Aufzeichnungsdaten in vielen verschiedenen Dateiformaten, von tcpdump (libpcap), über Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (sowohl komprimiert als auch unkomprimiert), Sniffer Pro und NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek und viele andere.

Es kann Daten via Ethernet, IEEE 802.11, PPP/HDLC, Bluetooth, USB, Token Ring, Frame Relay, FDDI und anderen Quellen erfassen und dabei unter anderem IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2 knacken.

WireShark gehört zum Arsenal der sogenannten ethischen Hacker als eines der wichtigsten Tools für die Netzwerksicherheit.

OpenVAS Scanner

Mit OpenVAS (vollständiger Name: Open Vulnerability Assessment Scanner) bietet die Greenbone Networks GmbH aus Osnabrück einen quelloffenen „vollumfänglichen“ Schwachstellen-Scanner an. Zusammen mit weiteren Open-Source-Modulen bildet der Scanner das Greenbone Vulnerability Management im Rahmen der kommerziellen Produktfamilie für Schwachstellenmanagement von Greenbone.

„999 von 1.000 erfolgreich ausgenutzten Schwachstellen sind seit mehr als einem Jahr bekannt“, argumentiert das Unternehmen auf seiner Webseite. Die Angriffsfläche der IT-Infrastruktur könnten Unternehmen „schnell und einfach“ mit geeigneten Werkzeugen verkleinern. Der erste Schritt bestehe darin, die betreffenden Schwachstellen zu identifizieren und das Risikopotenzial zu bewerten – zum Beispiel eben mit Tools des Anbieters. Als Nächstes könne Greenbone Maßnahmen zur Problembehebung empfehlen. So ließen sich Angriffe durch gezielte Vorsorgemaßnahmen verhindern.

Die Fähigkeiten der kostenfreien Edition umfassen authentifiziertes und nicht-authentifiziertes Testen, Penetrationstests über verschiedene high-level- und low-level-Internet- und Industrie-Protokolle sowie Performance-Tuning für großflächige Tests. Der Scanner nutzt intern eine eigene Programmiersprache, mit der sich die Schwachstellen-Prüfung fein tunen lassen soll.

Nuclei

Ablauf eines Scans mit Nuclei.
Ablauf eines Scans mit Nuclei.
(Bild: ProjectDiscovery via GitHub)

Nuclei des GitHub-Sponsors ProjectDiscovery aus dem U.S.-Bundesstaat Oregon kann zielgerichtete, benutzerkonfigurierbare Schwachstellen-Scans durchführen, indem es via Netzwerk automatisierte Anfragen an Hosts sendet. Nuclei macht sich hierzu YAML-Vorlagen aus einem Repository zu Nutze, die auf Beiträgen von über 200 Sicherheitsforschern und Ingenieuren basieren sollen. Das Werkzeug trumpft mit einer hohen Ausführungsgeschwindigkeit und einer beachtlichen Erweiterbarkeit. Zu den unterstützten Protokollen zählen TCP, DNS und HTTP.

ProjectDiscovery hat sich das Motto „Sicherheit durch intelligente Automatisierung“ auf die Fahnen geschrieben und hat noch andere Tools für Penetrationstests und Bug-Bounties im Köcher, darunter ein Domänen-Erkennungswerkzeug für Penetrationstests mit dem einprägsamen Namen Subfinder, das HTTP-Toolkit httpx, welches sich die Bibliothek retryablehttp zunutze macht, außerdem das DNS-Toolkit dnsx (ein wahres Multitalent) und den blitzschnellen Port-Scanner naabu, mit dem sich potenzielle Angriffsflächen aufspüren lassen.

Google Tsunami

Als zum Anbruch der Pandemie im vergangenen Jahr Cyberattacken explodierten, legte Google den Quellcode des hauseigenen Verwundbarkeits­scanners Tsunami auf GitHub offen. Im Gegensatz zu den meisten anderen Tools dieser Art wurde Tsunami geschaffen, um in wirklich massiven Netzwerken nach Verwundbarkeiten zu „fischen“.

Tsunami besteht aus zwei Hauptkomponenten: der Scanning-Engine und einem Analysewerkzeug. Die Scanning-Engine hat die Aufgabe, das Netzwerk eines Unternehmens nach offenen Ports zu durchsuchen und jeden solchen Port zu testen. Dieses sogenannte Port-Fingerprinting basiert auf der bewährten Netzwerk-Mapping-Engine nmap, verwendet aber auch Google-eigenen Code.

Die zweite Komponente nutzt die Ergebnisse des Scans des Fingerprinting-Moduls, um die Geräte auf eine Liste von Schwachstellen mit bekannten Exploits zu testen.

Die modulare Architektur erlaubt es den Entwicklern von Tsunami, neue Funktionen durch bloßes Hinzufügen neuer Plugins zu implementieren.

Tsunami trumpft derzeit mit zwei besonders leistungsstarken Features auf: Es kann offen zugängliche sensible Benutzerschnittstellen aufspüren und schwache Anmeldedaten unter anderem in SSH, FTP, RDP und MySQL aufdecken.

Anwendungen wie Jenkins, Jupyter und Hadoop Yarn bieten dem Benutzer Schnittstellen, die es ermöglichen, die Ausführung von Arbeitslasten in einer bestimmten Reihenfolge vorab einzuplanen oder Systembefehle auszulösen. Wenn diese Systeme Aufrufe ohne eine Benutzerauthentifizierung entgegennehmen, können Angreifer die Funktionalität der Anwendung für bösartige Aktivitäten ausnutzen. Um schwache Passwörter zu erkennen, macht sich Tsunami diverse andere quelloffene Werkzeuge wie ncrack zu nutze.

Trivy

Trivy ist quelloffener Verwundbarkeits­scanner für Container-Images. Seit dem Projektbeginn vor rund zwei Jahren hat das Werkzeug eine breite Anhängerschaft unter den Mitgliedern der Open-Source-Gemeinde auf GitHub gewonnen.

Im Gegensatz zu anderen Open-Source-Scannern deckt Trivy sowohl Betriebssystempakete als auch sprachspezifische Abhängigkeiten ab und lässt sich leicht in die Softwareentwicklungspipelines integrieren.

Tools für die automatisierte Überwachung

Jenseits konventioneller Netzwerk-Vulnerability-Scanner bewähren sich im Unternehmensumfeld zunehmend auch Lösungen zur kontinuierlichen Überwachung der IT-Infrastruktur und des Anwendungscodes in Softwareprojekten im Hinblick auf das Aufkommen neuer Verwundbarkeiten. In diese Kategorie fallen Tools wie Nagios und Toolkits wie Snyk mit Prometheus und Grafana.

Nagios zählt zu den ältesten Open-Source-Monitoring-Tools. Es erlaubt die Überwachung von System- und Hardware-Metriken, Netzwerkprotokollen, Anwendungen, Servern und sonstigen physischen Elemente der Infrastruktur, auch mit externen Tools. Die Überwachung der verschiedenen Endpunkte erfordert die manuelle Einrichtung von Automatisierungsskripten.

Prometheus ist eine quelloffene Lösung zur Überwachung von Metriken und Zeitreihendaten in Cloud-nativen Umgebungen. Es entstammt der Feder des Berliner Startups SoundCloud. Die Inspiration lieferte Googles Überwachungssystem Borgmon. SoundCloud hatte den Projektcode an die Cloud Native Computing Foundation (CNCF) übertragen, die u.a. auch Kubernetes und OpenTracing hostet. Heute zählt Prometheus zu den erfolgreichsten Open-Source-Projekten im Unternehmensumfeld.

Prometheus trumpft mit fortgeschrittenen Fähigkeiten zur Datenvisualisierung. Es ist ausbaufähig, integriert sich reibungslos mit Kubernetes und lässt sich aus nahezu beliebigen Datenquellen beliefern, von Rohmetriken der Systemebene über Docker, HAProxy, StatsD bis hin zu JMX-Messwerten. Es ist in Go/Golang geschrieben und unterliegt der Apache 2-Lizenz.

Der internationale Webhoster Hostinger überwacht mit Prometheus die physischen Server und VMs seiner zig Millionen Nutzer. Das Unternehmen habe ursprünglich den NCG-Stack (Nagios/Cacti/Ganglia) genutzt und als dieser nicht mehr ausreichte, nahm das Team im ersten Anlauf den TICK-Stack auf die Probefahrt (Telegraf / InfluxDB / Chronograf / Kapacitor). Das ausschlaggebende Kriterium für den Einsatz von Prometheus waren die leistungsstarken Fähigkeiten der Automatisierung von Infrastruktur in Code. Zu den Nutzern von Prometheus zählen außerdem u.a. SuSE, Red Hat, Presslabs, DigitalOcean, Uber und Microsoft.

Kali Linux Workshop
Bildergalerie mit 5 Bildern

Mit offenen Karten spielen?

Die Verwendung von Open Source Software spart Unternehmen so um die 60 Milliarden Dollar pro Jahr, schrieb Flexera vor drei Jahren in einem Bericht. Seither hat die Nutzung von Open Source in Unternehmen zugenommen und hat nebenbei auch zu neuen Verwundbarkeiten geführt, bestätigt eine aktuelle Studie der Flexera-Sparte Revenera aus dem Jahre 2021. Doch die wichtigsten Vorteile quelloffener Lösungen lassen sich kaum so konkret auf Pfennig und Teller beziffern.

Denn Open Source hat mindestens zwei entscheidende Vorteile, die in vielen Organisationen einen hohen Stellenwert einnehmen: Es schafft Vertrauen durch die uneingeschränkte Auditierbarkeit des Codes und maximiert die Anpassungsfähigkeit der eingesetzten Lösungen.

Die Konformität quelloffener Lösungen mit offenen Standards verbessert die Interoperabilität und erweitert die Möglichkeiten der Integration in die bestehende IT-Umgebung.

Der Verzicht auf ein Preisschild bedeutet nicht automatisch einen Qualitätsverlust, ganz im Gegenteil. Quelloffene Projekte ziehen Entwickler der Weltspitze an; minderwertige Beiträge werden im Licht der Öffentlichkeit schnell ausgesondert.

Quelloffener Code fördert zudem die Entstehung einer großen Interessengemeinschaft; ihre Mitglieder treiben die Entwicklung im eigenen Interesse voran. Die offene Natur von Open Source fördert die Entstehung reichlicher Bestände an Dokumentation und ebnet neuen Nutzern den Einstieg und flacht die steile Lernkurve ab. Eine engagierte Nutzergemeinde regt den offenen Austausch von Erfahrungen an und reduziert den Bedarf an kommerziellem Support.

Dennoch geht der Einsatz von quelloffenen Lösungen in der Cybersicherheit auch mit gewissen operativen Risiken einher, die gerade im Unternehmensumfeld vielen Nutzern Anlass zur Sorge geben.

Die Verzahnung von Open-Source-Lösungen ist oft sehr tiefgreifend und verzwickt. Die Nutzer quelloffener Lösungen haben keinen Anspruch auf eine definierte Leistung gegenüber dem Hersteller. Das gängige Sprichwort und ironisches Versprechen, „Sie bekommen, was sie bezahlen“ („you get what you pay for“) kann sich bei quelloffenen Lösungen leider durchaus bewahrheiten, muss jedoch nicht.

Für Lösungsanbieter wie das kleine Startup ProjectDiscovery bewährt sich Open Source als eine vertrauensbildende Maßnahme. Das „Open-Sourcing“ von Code generiert für diese Anbieter eine nahezu kostenneutrale Methode, um die eigene installierte Basis zu erhöhen, Aufmerksamkeit zu bekommen und neue Ideen zu schöpfen. Eine quelloffene Code-Basis vereinfacht Interoperabilität mit anderen Lösungen und die Zusammenarbeit mit anderen Softwareschmieden, senkt die Entwicklungskosten und beschleunigt Bugfixes.

Fazit

Quelloffene Schwachstellenscanner können helfen, die Cyber-Risiken in einer verteilten IT-Umgebung zu erkennen und zu beheben. In der Open-Source-Gemeinde gibt es davon wahre Perlen, die ihre kommerziellen Alternativen – in den richtigen Händen wohlgemerkt – um Längen schlagen.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:47774201)