Security-Startups im Blickpunkt: Crashtest Security

Kontrollierte Zerstörung

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Sicherheitslücken lassen sich mit simulierten Angriffen auf Webanwendungen schon vor einer produktiven Nutzung finden und eliminieren, bevor sie durch Cyberkriminelle ausgenutzt werden.
Sicherheitslücken lassen sich mit simulierten Angriffen auf Webanwendungen schon vor einer produktiven Nutzung finden und eliminieren, bevor sie durch Cyberkriminelle ausgenutzt werden. (© Taras-Livyy - stock.adobe.com)

Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann.

Crashtests werden meistens mit der Autoindustrie in Verbindung gebracht. Hierbei wird eine Kollision von PKWs unter realistischen und kontrollierten Bedingungen mit andern Objekten (PKW, Mauer, Fußgänger etc.) durchgeführt. Das Ergebnis gibt Auskunft über die Wirksamkeit der im PKW eingebauten Sicherheitsmaßnahmen. Eine Art Crashtest führt auch das in München gegründete Startup Crashest Security durch, dass sich auf die Sicherheit von Webanwendungen spezialisiert hat.

Crashtest Security bietet mit seinem Produkt einen automatischen Penetrationstest für Web Applikationen an. Der User hat dabei mit technischen Details relativ wenig zu tun, da die Software quasi als Black Box agiert, welche nach Eingabe von Rahmenwerten alles weitere selbst durchführt und am Verarbeitungsende einen benutzerfreundlichen Report als PDF generiert. Damit ist es möglich, die eigene Anwendung einem Penetrationstest zu unterziehen, ohne sich erst in relevante Tools einzuarbeiten oder gar ein zertifizierter Pen-Tester zu sein. Der PDF-Report verwendet eine CVSS (Common Vulnerability Scoring System) Klassifizierung und nutzt so etablierte Standards, die für eine Behebung der gefunden Schwachstellen oft detaillierte Anweisungen geben. Crashtest Security will damit die Sicherheit auf ein neues Level heben und qualifizierte Security-Scans für jedwede Webanwendung ermöglichen, egal ob diese von einem Großunternehmen betrieben wird oder von einer kleinen GmbH.

Das Team

Das Team der Security-Enthusiasten aus München ist noch überschaubar. Mehrere Experten, entwickeln und betreiben das Produkt Crashtest Security. Dies sind unter anderem die vier Gründer Felix Brombacher, Janosch Maier, René Milzarek und Daniel Schosser. Gegründet wurde das Unternehmen im Februar 2017, mit Unterstützung verschiedener Startup-Mentoren. Eine kurze Vorstellung von Crashtest Security gibt Janosch Maier in einem Youtube-Video. Im März 2018 gewann das Startup auch mehre Investoren für die Umsetzung zukünftigen Herausforderungen hinzu – Security Insider berichtete hierzu bereits.

Das Team entwickelt sein Produkt stetig weiter. Aktuell wurde beispielsweise ein Test auf „File Inclusion“ eingebaut. Dieser erkennt, ob ggf. Probleme durch die Nutzung von eingebundenen Dateien entstehen könnten. Dies wäre dann der Fall, wenn es sich um eine Passwort-Datei des Servers handelt, welche einem Angreifer die unmittelbare Kontrolle des Systems erlauben würde.

Nutzungsarten

Wie Janosch Maier im Video vorstellte, kann man Crashtest Security auf zweierlei Arten nuten. Gratis, mit einem eingeschränkten Scan-Umfang und als kommerzielle Kauf-Software. Das Pricing wird dabei von dem zugrunde liegenden Funktionsumfang (Support-Level, on premises, on virtual private cloud, Automatisierungsgrad etc.) beeinflusst. Der Professional Mode ist bereits ab 99€ je Monat zu erhalten.

Interessant hier ist die Option „Automated scanning“, welche eine Integration in den eigenen Entwickler-Workflow erlaubt. Damit können neue Produktversionen automatisch auf Sicherheitsverletzungen getestet werden. Diese ermöglicht es dem Entwickler, eine permanente Sicherheitskontrolle in dem Entwicklungsprozess zu verankern und so Kunden- und Firmendaten zu schützen. Weitere Informationen zu den Produktpreisen und Produktmerkmalen sind in der Preisliste auf der Crashest Security Webseite aufgeführt.

Einer der großen Pluspunkte von Crashtest Security ist dabei, dass die automatisierte Überprüfung auf Schwachstellen schneller und auch deutlich preiswerter erfolgt, als durch einen menschlichen Security-Tester.

Ergänzendes zum Thema
 
Im Gespräch mit Janosch Maier, Geschäftsführer und Mitgründer von Crashtest Security

Crashtest Security in der Free-Version

Die ersten Übungsschritte mit Crashtest Security erfolgen analog zu vielen anderen Produkten. Man wählt auf der Webseite die Option „Sign up for free“ an und folgt dann den englischsprachigen Anweisungen. Zunächst wird ein Account angelegt und via E-Mail per Opt-in bestätigt. Nach einem Login kann man auch schon starten und ein Test-Projekt anlegen. Die Free Version unterliegt dabei folgenden Beschränkungen:

  • ein Projekt
  • maximal fünf Scans je Monat
  • erlaubt ist ein „Production“-Scan

Über mehrere Abfragemenüs wird dann der jeweilige Scan-Umfang definiert. Sind die Definition abgeschlossen kann der Scanlauf gestartet werden. Auf dem Bildschirm werden dabei die erreichten Zwischenstände dargestellt und periodisch aktualisiert.

Am Ende des Scanlaufs, dessen Laufzeit vom Scan-Umfang und der Anwendungskomplexität bestimmt wird, erhält der Anwender eine komprimierte Übersicht. Zusätzlich wird die Option angeboten, die erkannten Findings als PDF-Datei herunterzuladen.

Im beigefügten Muster (Crashtest-Security_PDF-Datei) wurden für die untersuchte Instanz zwei Medium und drei Low Findings erkannt. Zu jedem der Findings enthält der PDF-Report eine Erklärung bereits, eine Risiko-Einschätzung und (sofern vorhanden), einen Hinweis wie die identifizierte Schwachstelle beseitigt werden kann. Der Report ist dabei so aufgebaut, dass auch ein Nicht-Fachmann die elementaren Informationen problemlos herauslesen kann.

Crashtest Security in der Professionellen/Enterprise-Version

Ein Umstieg auf die erweiterten Versionen ist für den Anwender leicht zu vollziehen. Die Schritte sind weitestgehend identisch – nur der Umfang der Optionen nimmt zu. Bei Crashtest Security legt man aber auch Wert auf die eigene Sicherheit. Erstellte Projekte können erst nach einer Sicherheitsabfrage gelöscht werden, um ein das Risiko eines versehentlichen Löschens zu minimieren.

Ebenso unterbindet man die Nutzung des Tools als Angriffswerkzeug auf fremde Domains. Ein Test verschiedener Funktionen ist nur dann möglich, wenn zuvor eine von Crashtest Security erstellte Semaphor-Datei auf dem zu untersuchenden System hinterlegt wird. Diese Datei wird im Zuge der Projektsettings, vor dem ersten Scanlauf erzeugt und muss sich auf dem Zielsystem befinden. Ist die Datei vorhanden und konnte erfolgreich verifiziert werden, startet der vorgegebene Scanlauf für die Applikation(en) der Domäne.

Abhängig vom ausgewählten Project-Type (Multi Page-Application, Application Programm Interface oder Single Page Application) starten die einzelnen Überprüfungen. Innerhalb des Project-Types ist es dann ausschlaggebend, welche Umgebung das Tool vorfindet. So entfällt beispielsweise der Test auf Schwachstellen für die „Transport Layer Security (TLS/SSL), wenn kein https zur Verfügung steht. Ein Scan durch Crashtest Security kann nach zehn Minuten fertig gestellt sein, aber auch mehrere Stunden benötigen – abhängig von der Komplexität der Umgebung.

Wer möchte, kann die aktuellen Zwischenergebnisse im Scan-Dashboard betrachten und schon erste Aussagen bewerten. Im Dashboard ist es möglich, die Findings zu einer Gruppierung (Fingerprinting, TLS/SSL, XSS, SQL Injection usw.) anzuzeigen, das Risiko der gefundenen Schwachstelle und durch einen weiteren Klick, bereits detaillierte Infos zu erhalten. Bei einer vorhandene CVE-Einordnung kann diese auch sofort am Bildschirm angezeigt werden. Diese Infos sind auch zum Nachlesen im erzeugten PDF-Report enthalten, das den Nutzer mit konstruktiven Ratschlägen versorgt und eine managementfähige Aussage für die Sicherheit einer Applikation bildet.

Die Schwachstellen / Findings (im Beispiel 20) werden komplett, in tabellarischer Auflistung, innerhalb des Dashboards angezeigt. Ebenso kann man auch den PDF-Report downloaden und sich daran machen, die Schwachstellen zu beheben und dabei auf die gelieferten Informationen zurückgreifen. Die beigefügte Report-Datei (pdf) enthält die gefundenen Überprüfungs-Ergebnisse für eine Muster-Anwendung, die mehrere Schwachstellen enthält.

Heutzutage ist es eher eine Fleißaufgabe, als eine technologische Herausforderung, Informationen zu Schwachstellen zu finden und wie diese zu beheben sind. Letzteres kann aber, abhängig von der jeweiligen Web-Anwendung durchaus einen Rattenschwanz von Einzelaufgaben nach sich ziehen. Und nicht selten, kann es auch passieren, dass durch eine Programmkorrektur oder Programmerweiterung weitere Schwachstellen eingebaut werden. Aber auch hier bietet sich das Tool von Crashtest Security an, um die Applikation erneut auf Schwachstellen abzuklopfen.

Ergänzendes zum Thema
 
Security-Startups gesucht!

Fazit

Eine kontrollierte Zerstörung bzw. ein Angriff (wenn auch nur simuliert), macht Tools wie das von Crashtest Security überaus wertvoll, denn man findet schnell die Schwachstellen in der Programm-Konstruktion. Sicherheitslücken können so vor einer produktiven Nutzung eliminiert werden, bevor sie durch Cyberkriminelle ausgenutzt werden. Die Einfachheit in der Bedienung und der hilfreiche Output machen dieses Werkzeug zu einem empfehlenswerten Tool. Besonders für Entwickler, die Synergien nutzen wollen und das Wissen von Experten einfach integrieren möchten.

Crashtest Security auf einen Blick
Name Crashtest Security
Webseite https://crashtest-security.com/
Geschäftsform GmbH
Standort 81671 München
Gründungszeitpunkt Februar 2017
Geschäftsführer Felix Brombacher, Janosch Maier, René Milzarek, Daniel Schosser
Anzahl Mitarbeiter ca. 10
Security-Sparte Automatische Sicherheitsanalyse von Web Anwendungen
Produkt Crashtest Security
Innovation Automatisiertes Security-Scannen für Applikationen
Unternehmens-Blog https://blog.crashtest-security.com/
Investitionen möglich Anfragen ab November 2018 möglich
Startfinanzierung / Umsatz letztes Jahr Seed Investment im März 2018 in sechsstelliger Höhe

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45418876 / Security-Startups)