Schwachstellen-Scanner für Firmen-Netzwerke
12/28/2011

Schwachstellen-Scanner für Firmen-Netzwerke

Security-Experte nutzt Google zur Suche nach Sicherheitslücken

von Jakob Steinschaden

“Spider-Pig” heißt eine neue Hacker-Software, die der Security-Spezialist Fabian Mihailowitsch im Rahmen der Hacker-Konferenz 28C3 vorgestellt hat, die derzeit in Berlin stattfindet. Dabei handelt es sich um eine Technik, mit der sehr einfach, schnell und kostengünstig Schwachstellen auf Firmen-Webseiten festgestellt werden können. Mihailowitsch ist in München für Deloitte tätig.

“Oft hat man ein Ziel, dass mit vielen Satelliten verbunden ist”, so Mihailowitsch. Firmen hätten nicht nur eine einzelne Webseite, sondern würden Web-Applikationen und Daten oft an Nebensitze und Partnerfirmen auslagern - etwa Kreditkartendaten von Kunden, die auf den Servern eines PaymentSpezialisten liegen oder Marketing-Kampganen, die unter einer anderen URL online sind. Für Außenstehende ist es oft nicht klar, dass bestimmte Web-Apps zu bestimmten Firmen gehören.Schnelle und günstige Google-Abfragen“Spider-Pig” ist eine Anwendung, die mit Hilfe von Stichwörtern zu einer Firma (z.B. Name, Produkte, Mitarbeiter, etc.) sehr schnell eine Liste an Web-Adressen herausfiltern kann, die in irgendeiner Art und Weise mit der betroffenen Firma verknüpft sind. Dabei greift sie auf die Rechenkapazität von Suchmaschinen wie Google oder Bing zurück, die über APIs (Programmierschnittstellen) teilweise kostenlose “Custom Searches” erlauben.

Die generierte und gewichtete Liste von Web-Adressen (z.B. werden Amazon-Seiten von Produkten der Firma schlechter bewertet) wird dann vollautomatisch auf Schwachstellen geprüft. In einem Testlauf hätte man in kurzer Zeit, mit 200 Dollar Budget und mehreren Stichwörtern “sehr viele Sicherheitslücken” bei einem Unternehmen aufspüren können. Ob es sich dabei um Sony - 2011 gebeutelt durch einen massiven Hacker-Angriff - gehandelt hätte, wollte Mihailowitsch nicht kommentieren.

“Firmen müssen heute nicht nur ihre eigenen Web-Applikationen schützen, sondern auch garantieren können, dass jene von Partnerfirmen sicher sind”, sagte Mihailowitsch. Unternehmen sei anzuraten, möglichst wenige Daten an Drittfirmen auszulagern. Offen ist, ob sein Team und er “Spider-Pig” als Dienstleistung im Web anbieten werden, mit dessen Hilfe Firmen schnell und einfach eigene Schwachstellen ausfindig machen können.



Mehr zum Thema

  • Morozov: "Im Netz entsteht eine neue Ideologie"
  • Hacker entdeckt neue Lücke bei GSM-Handys
  • EU: Strengere Regeln für RFID gefordert
  • Experte warnt vor Lücken bei Bahn-Security
  • Kritik am Umgang mit Überwachungs-Software
  • 28C3: Hacker-Kongress “hinter Feindeslinien”