Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenAnwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenAnwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Inhaltsübersicht
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.