Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
Pieter De Cremer
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang des Monats hat der belgische Kopfgeldjäger, Inti De Ceukelaire einen kreativen Hack aufgedeckt, der Hunderte von Unternehmen betrifft. Der Trick besteht in der Ausnutzung fehlerhafter Geschäftslogik in beliebten Helpdesk- und Problemverfolgungssystemen auszunutzen, um sich Zugang zu Intranets, Social-Media-Konten oder - am häufigsten - zu Yammer- und Slack-Teams zu verschaffen. Die Einzelheiten können Sie in einem Inti's eigenem Blog-Post. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und war neugierig auf den Prozess, der damit verbunden war, also beschloss ich, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Bounty-Jäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen zu knacken.
Letzte Woche habe ich Ihren Blog-Beitrag über das gelesen, was Sie seitdem "Ticket-Trick" genannt haben, und ich war beeindruckt von Ihrer Kreativität, diesen Exploit zu finden. Wie sind Sie auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Webseiten Geld für verantwortungsvolle Sicherheitsforscher bieten, die einzigartige Schwachstellen entdecken. Da es eine Menge Konkurrenz gibt, muss man ständig nach Dingen suchen, die andere noch nicht gefunden haben. Ich dachte, dass Slack ein interessanter Angriffsvektor sei, da es oft sensible Informationen enthält und manchmal nur eine gültige Firmen-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und begann, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese wilde Idee - und es stellte sich heraus, dass sie funktionierte. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal klappt, es zahlt sich aus ;-)
Als jemand, der normalerweise auf der Gegenseite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentesting-Sitzung aussieht. Wo arbeiten Sie? Ist es etwas, das Sie auch in Ihrer Freizeit von Ihrer Couch aus machen? Oder sitzen Sie in einem Büro?
Tagsüber arbeite ich als Digital Creative Coder bei einem Radiosender namens Studio Brussel. Das beinhaltet etwas Programmierung und etwas Social Media, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem professionellen Job zu vermischen. Ich habe Angst, dass ich meine Kreativität verliere, wenn ich das tue. Ich hacke nicht so oft: maximal ein paar Stunden pro Woche. Das kann am Tisch, auf der Couch oder auf meinem Bett sein - was auch immer in dem Moment bequem ist.
Wie fangen Sie an? Haben Sie einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob es eine ausreichende Eingabevalidierung oder Ausgabe-Escaping gibt?
Ich bin wirklich chaotisch, daher habe ich nicht wirklich eine Checkliste, ich benutze einfach mein Bauchgefühl. Meistens beginne ich mit etwas, das sich Aufklärung nennt: Auflisten aller interessanten Zielinformationen, Subdomains, IP-Adressen, was immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken anfange. Wenn man nur nach den Standard-Schwachstellen aus dem Lehrbuch sucht, verpasst man viele der cleveren und komplexen Schwachstellen. Wenn es um Eingaben geht, versuche ich, so viele Schwachstellen wie möglich in einer Nutzlast abzudecken. Wann immer ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs sind oft in den abgelegeneren Teilen einer Web-Anwendung zu finden, also versuche ich, so tief wie möglich zu graben.
Was macht Ihrer Meinung nach einen guten Pentester aus? Haben Sie Tricks im Ärmel, die Sie uns mitteilen können?
Ich bin kein Pentester, also kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Eigenschaften. Die meisten Leute würden nicht einmal in Erwägung ziehen, bei Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben und trotzdem jedes Jahr Millionen von Bug Bounties auszahlen. Ich arbeite seit über 2 Jahren an einem Ziel und fange jetzt an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen festen Betrag erhalten, egal ob sie kritische Schwachstellen finden oder nicht. Ich glaube, dass es noch viele Bugs in Facebook gibt, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war Ihr erster Gedanke, als Sie das Ausmaß des Ticket-Tricks erkannten?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit kassieren könnte, aber andererseits war ich schockiert, dass dies möglich war. Wann immer man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Die Offenlegung ist ein schwieriger Prozess: Man muss so viele betroffene Firmen wie möglich informieren, aber auf der anderen Seite muss man sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum haben Sie sich entschieden, die Informationen zu veröffentlichen, bevor Sie weitere Kopfgelder kassieren?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen gerechten Anteil und möchte nun der Community etwas zurückgeben. Außerdem habe ich die Unternehmen seit Monaten über dieses Problem informiert, so dass immer mehr Leute davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten der Antworten waren zufriedenstellend. Einigen Unternehmen war es egal, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Wenigstens habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf reddit habe ich gelesen, dass Sie $8.000 an Bug Bounties beansprucht haben, haben Sie irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich mehr als 20.000 Dollar von diesem Fehler bekommen. Mehr als die Hälfte davon geht für Steuern drauf. Den Rest gebe ich für normale Dinge wie Reisen, Essen gehen, ... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Erfolg bei der Jagd in der Zukunft!
Der Fehler ist immer noch vorhanden. Er ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich Dutzende von Unternehmen und betroffenen Anbietern im Rahmen ihrer Bug Bounty-Programme kontaktiert, um ihre Einrichtung zu beheben.
