Ethical Hacking

White-, Grey- und Black-Hat-Hacker unterscheiden

| Autor / Redakteur: Tim Schughart und Stefan Treiber / Peter Schmitz

Penetration Tester bewegen sich bei ihrer Tätigkeit derzeit oftmals in undefinierter Gesetzeslage.
Penetration Tester bewegen sich bei ihrer Tätigkeit derzeit oftmals in undefinierter Gesetzeslage. (Bild: gemeinfrei / Pixabay)

Unter einem Hacker versteht man allgemein jemanden, der mit böser Absicht in Computer­systeme eindringt. Aber ist das immer so, oder unterscheiden sich manche Hacker auch von anderen? Gibt es vielleicht sogar so etwas wie einen Hacker-Kodex? Speziell beim Umgang mit Disclosures, also der Offenlegung von Schwachstellen, gibt es große Unterschiede.

Hacker beschäftigen sich mit Sicherheitsmechanismen und deren Sicherheitslücken. Der Begriff beinhaltet Personen, die Sicherheitslücken suchen, um sie aufzuzeigen oder zu korrigieren, aber auch Personen, die solche Lücken ausnutzen und unerlaubt in fremde Systeme eindringen - diesen Handlungen liegen unterschiedliche Motivationen, wie zum Beispiel Geld, Rache oder Spaß zugrunde. Je nach Ethik und Loyalität gegenüber dem Gesetz, wird zwischen White-Hats, Grey-Hats und Black-Hats unterschieden.

Penetration Tester bewegen sich derzeit oftmals in undefinierter Gesetzeslage, weshalb wir dann von Grey-Hat Hacking sprechen. Konkret bedeutet dies, dass ein Hack durchaus „unethisch“ sein kann, es aber keine gesetzliche Regelung dazu gibt und man sich eigentlich gesetzlich konform bewegt. In der Szene wird daher das Synonym des wilden Westens verwendet.

Grundlagen des Ethical Hacking

Hacking mit Python, Teil 1

Grundlagen des Ethical Hacking

13.06.19 - In diesem Workshop verwenden wir die Programmiersprache Python, um ein Passwort zu entschlüsseln. Genauer gesagt prüfen wir einen auf irgendeine Weise erlangten Passwort-Hash durch einen Vergleich mit dem MD5-Hash eines gegebenen Wörterbucheintrages auf Übereinstimmung. lesen

Offenlegung von Schwachstellen

Nach Bekanntwerden einer Sicherheitslücke hat der Entdecker verschiedene Möglichkeiten damit umzugehen. Die Offenlegung (Disclosure) kann auf verschiedenste Art und Weise geschehen. So wählen ethische Hacker vor allem in Coordinated-Disclosures, bei dem das Ziel eine verantwortliche Offenlegung der Sicherheitslücke ist. Der Entdecker informiert den Hersteller über seinen Fund und gibt zunächst keine oder nur wenige Informationen an die Öffentlichkeit. Meistens wird nur auf die Existenz und gegebenenfalls auf die Art einer Sicherheitslücke in einem Produkt hingewiesen. Ethische Hacker nutzen immer diese Art der Veröffentlichung. Neben des Coordinated-Disclosures gibt es noch die Möglichkeit eines Non-Disclosures, bei dem die Schwachstelle nicht veröffentlicht wird, diese Offenlegungen finden zum Beispiel bei Geheimdiensten Anwendung. Ein Beispiel dieses Disclosures ist die Sicherheitslücke „Eternalblue“, die lange Zeit von der NSA genutzt wurde, ohne der Öffentlichkeit bekannt zu sein. Später wurde sie in Form eines Full-Disclosures von einer Hackergruppe, welche die NSA zuvor hackte, mit allen Details und Proof of Concept veröffentlicht und unter dem Namen WannaCry bekannt.

Egal auf welche Art der öffentlichen Bekanntgabe der Entdecker der Schwachstelle setzt, ein unerlässlicher Schritt ist die Beantragung einer CVE-Nummer. Schwachstellen werden mit einem CVSS derzeit in Version 3 berechnet. Je nach Höhe des Scores wird die Schwachstelle in High (10,0 bis 7,5), Middle (7,4 - 5,0) und Low (4,9-1) eingestuft. Bewertet wird vor allem die Exploitability und der Impact. Stellt der betroffene Hersteller nach Ablauf einer Zeitspanne keinen Patch zur Verfügung, muss ethisch abgewogen werden, wie weiter mit der Sicherheitslücke umgegangen wird. Wird vom Hersteller nach mehrmaligen Kontaktversuchen nicht reagiert, wird der ethische Hacker alle Erkenntnisse der Öffentlichkeit zur Verfügung stellen. Er warnt damit die Öffentlichkeit vor der Verwundbarkeit der Software oder des Produkts. Bei der eventuellen Offenlegung (für die Öffentlichkeit) der Sicherheitslücke werden ethische Hacker versuchen, den Schaden gering zu halten. Daher versuchen sie mit Hilfe des Herstellers schnellstmöglich einen Patch oder eine Lösung zur Verfügung zu stellen. Ethische Hacker bewegen sich damit im stetigen Wechsel zwischen Grey-Hat und White-Hat Leitlinien.

Bug-Bounties

Bei einem Bug-Bounty spricht man von einer von Unternehmen oder Interessenverbänden betriebenen Initiative zu Identifizierung, Behebung und Bekanntmachung von Fehlern in Software mit Sach- oder Geldpreisen für die Entdecker.

Insgesamt ist es natürlich ein erster Ansatz, die IT-Sicherheit im Unternehmen zu verbessern. Fraglich ist trotzdem die ethische Vereinbarkeit dieser Programme. Durch solche Programme versuchen nicht ausgebildete Personen, oft ohne einen expliziten Auftrag des Betreibers, die Systeme zu attackieren. Die Möglichkeit der Beschädigung der Daten, bzw. eines Ausfalls des Dienstes (Denial of Service) ist hierbei durchaus gegeben. Auch das Erbeuten von personenbezogenen Daten ist ein Risiko, da hier im Gegensatz zu einem beauftragten Hacking, dem „Penetration Testing“, deren Eigentümer meist nicht zugestimmt haben.

Dies kann zudem weitere Konsequenzen nach sich ziehen, da für das Unternehmen oder die Institution im SOC nicht erkennbar ist, ob es sich um einen „böswilligen“ Angriff oder eine „gutgemeinte“ Untersuchung handelt. Diese Unterscheidungsfrage sollte sich auch nicht stellen, da jeder Angriff im Grunde eine Straftat darstellen kann. Die Konsequenzen bei einem in IT-Sicherheit gut aufgestelltem Unternehmen könnte demnach sogar eine Anzeige nach sich ziehen, da wie o.g. keine wirkliche Unterscheidung gemacht werden kann, weshalb Angriffe die nicht durch Penetration Test kommuniziert und beauftragt waren, oft zur Anzeige gebracht werden.

Weitere Schwierigkeiten bereitet es vor allem das Budget des Programms festzulegen. Werden mehrere Schwachstellen gefunden, so kann es das Budget sicherlich überschreiten. Hierüber besteht in aktuell gängigen Bug-Bounty Programmen oft keine Regelung.

Während vor allem große Unternehmen bzw. Konzerne Bug-Bounties aussetzen, ist es für einen mittelständischen Betrieb sicherlich nicht einfach finanzierbar, da die Kosten meist schwer kalkulierbar sind. Trotz alledem sind Bug-Bounty-Programme sicherlich ein guter Ansatz, um diejenigen zu unterstützen, die Schwachstellen ausfindig machen und diese mit öffentlicher Anerkennung für ihre Beiträge zu honorieren. Für Researcher ergibt sich hierdurch eine Alternative zum Schwarzmarkt. Zero-Day-Exploits werden so tendenziell weniger auf dem Schwarzmarkt gehandelt, da es die Möglichkeit einer materiellen Entlohnung durch den Hersteller gibt.

Jagd auf Schwachstellen als Teil des Geschäftsmodells

Mehr Sicherheit durch Bug-Bounty-Programme

Jagd auf Schwachstellen als Teil des Geschäftsmodells

22.03.19 - Der Open-Source-Anbieter Nextcloud hat Sicherheit zu einem zentralen Bestandteil seiner Geschäftsstrategie gemacht. Das interne Sicherheitsteam hat bisher mehr als 100 gültige, spezifische Sicherheitslücken behoben, wobei die Reaktionszeit unter einer Stunde lag. Dies macht das Unternehmen zu einem der reaktionsschnellsten Security-Teams bei der Bug-Bounty-Plattform HackerOne. lesen

Ethisches Verhalten beim Penetration Test

Beim Penetration Testing (dem beauftragten Hacking), das vom Berufsfeld der Penetration Tester ausgeübt wird, passiert es oftmals, dass Daten erbeutet werden, die ethisch verwerflich oder rechtlich unter Umständen strafbar sind oder Ordnungswidrigkeiten darstellen. Dadurch sollte jeder Penetration Tester im Zweifelsfall mit einem Juristen abwägen, ob etwas gemeldet werden sollte. Ebenfalls ist zu überlegen, wann Straftaten und Ordnungswidrigkeiten an den Auftraggeber gemeldet oder zur Anzeige gebracht werden. Bei sensiblen und privaten Themen muss sich jeder Penetration Tester überlegen, ob der emotionale Schaden einer betroffenen Person höher ist, als die Wichtigkeit des Findings.

Beispiel: „Bei einem Penetration Test wurde nur ein Finding gefunden: Die Logindaten des E-Mail Accounts eines Geschäftsführers. Für einen Penetration Tester liegt es nahe, im Postfach nach weiteren Logindaten zu suchen. Hierbei findet der Pentester dann Informationen zu einem Rechtsstreit mit der Ex-Frau und Sorgerechtsthemen - also ein sensibles Thema. In der Präsentation erzählt der Betroffene Geschäftsführer munter, dass sei ja überhaupt kein Problem, in seinem E-Mail-Postfach wäre ja nichts sensibles, das läge in einem anderen Account.“ Die Frage, die sich jeder Penetration Tester stellen sollte, ist wie und ob er dieses Thema anspricht.

Über die Autoren

Tim Schughart ist CEO bei ProSec und führender IT Sicherheitsexperte in den Bereichen Web Application Firewalling, verantwortlich für eine Vielzahl Zero-Day’s und Verfechter von Responsible Disclosures nach dem Motto „mit statt gegen die Hersteller“.

Stefan Treiber ist IT-Security Consultant bei ProSec und Spezialist im Bereich Schwachstellenanalyse und Firewalling.

Kontrollierte Zerstörung

Security-Startups im Blickpunkt: Crashtest Security

Kontrollierte Zerstörung

17.08.18 - Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46028633 / Security-Testing)