Automatisiertes Pentesting für sichere Web-Apps

Crashtest Security ist ein kleines Security-Start-up aus München, das einen Online-Sicherheitsscanner für Web-Anwendungen entwickelt hat. Im Gespräch mit com! professional erläutert Mitgründer Janosch Maier die Funktionsweise der SaaS-Lösung und die strategischen Ziele des jungen Unternehmens.

Der Ursprung von Crashtest Security führt auf eine Vorlesung zum Thema Secure Coding an der TU München zurück. Dort hatten die jungen Informatiker die Aufgabe, als Team eine Online-Banking-Anwendung zu erstellen und die Lösung der anderen Teams anzugreifen. Dabei ist den künftigen Gründern aufgefallen, dass es sehr wohl gute Tools gibt, um spezielle Sicherheitsszenarien zu scannen. Allerdings ist es schwierig, diese Anwendungen miteinander zu verknüpfen. So erfordern die vorhandenen Lösungen ein großes Sicherheitswissen, um sämtliche Gefahrenbereiche abzudecken. "Aber selbst wenn ich die passenden Tools einsetze, muss ich diese immer noch entsprechend konfigurieren und die Ergebnisse interpretieren können." Und genau hier setzt die Lösung des Start-ups nun an:

Prinzipiell automatisiert Crashtest Security auf Anwendungsebene das Hacking von Web-Anwendungen und Plattformen wie etwa ERP-Systeme oder Shop-Software mittels automatisierter Pentests. Die Funktionsweise beschreibt Maier recht praxisnah: "Wir gehen auf die Webseite, wie das ein Hacker auch machen würde, suchen dort alle Formulare heraus, die Einfallstore für Angriffe bieten und prüfen anschließend mit verschiedenen Scan-Techniken, ob wir da hineinkommen".

Kunden beziehen den Dienst direkt aus der Cloud. Nach einer Registrierung auf der Webseite stehen die Pentests bereits im Rahmen einer kostenlosen Testphase zur Verfügung und können direkt eingesetzt werden. "Damit geben die Kunden die Security-Workflows quasi an uns ab, was speziell für Firmen interessant ist, die selbst keine eigene Security-Abteilung besitzen, die aber dennoch bei der Entwicklung neuer Tools auf Pentesting angewiesen sind." Entsprechend setzen sich die Kunden von Crashtest Security aus Software-Herstellern zusammen, die Web-Lösungen für Shops und andere Dienste entwickeln. Dabei arbeitet Crashtest Security im Idealfall bereits während der Herstellung mit dem Software-Entwickler zusammen, um mögliche Schwachstellen aufzuzeigen. Zielsetzung sei es durch diesen Ansatz, dass Fehler möglichst nicht beim Kunden ausgeliefert werden.

Daneben arbeitet das Start-up an einer Lösung für Großkunden, die dann eine eigene VPC (Virtual Private Cloud) erhalten, die direkt über einen Tunnel mit dem eigenen Rechenzentrum verbunden ist. Dadurch steht die Datenbank nur im eigenen Rechenzentrum, wodurch die Kunden eine höhere Performance und mehr Datenschutz erhalten.

Dennoch entwickelt das Start-up die Lösung primär für den Mittelstand. "Unsere Kundschaft entwickelt viel Software, hat aber keine Mittel für eine eigene Sicherheitsabteilung oder findet schlichtweg nicht geeignetes Personal." Denn kompetente Sicherheitsexperten arbeiten meist bei größeren Playern wie Google oder der Allianz. "So findet etwa der Metallbau-Mittelständler diese Leute oft gar nicht, die er für die Absicherung seiner Indutrsie-4.0-Lösungen benötigt. Und selbst da, wo die Leute vorhanden sind, sind diese zumeist mit den bestehenden Aufgaben mehr als ausgelastet. Da bietet sich eine automatisierte Lösung natürlich an."

Prinzipiell ist das Start-up davon überzeugt, dass manuelle Sicherheitstest immer mehr durch automatische Lösungen abgelöst werden müssen, weil einfach die Kapazitäten nicht vorhanden sind, um mit der agilen Entwicklung mitzuhalten.

Bei den Scans orientiert sich Crashtest Security auf die gängigsten Lücken aus dem OWASP (Open Web Application Security Project). Klassische Themen sind dabei Injection-Angriffe wie etwa der Zugriff via SQL-Injection auf eine Datenbank oder Command-Injection zum Ausführen von Befehlen auf fremden Systemen. So hat Maier etwa vor kurzem eine Webseite in der Wildnis gesehen, bei der über ein Formular beliebige Linux-Befehle ausführbar waren. "In einem Fall hatten wir eine Cross-Site-Scripting-Lücke gefunden, die das Einschleusen von JavaScript-Code erlaubte, der dann bei anderen Nutzern ausgeführt wurde."

Auf Anwenderseite kommt von der Komplexität der Scans hingegen wenig an. Die Lösung von Crashtest Security lässt sich über eine aufgeräumtes Bedienoberfläche steuern. Auf dem Dashboard des Tools zeigt Crashtest Security, eine Übersicht zu den vorangegangenen Scans und die angelegten Projekte. Mit wenigen Klicks lässt sich ein neues Projekt für den Scann einer Webanwendung anlegen. Dabei besteht die Option, eine Webanwendung oder eine API zu untersuchen. "Bei Letzterem wird eine Beschreibungsdatei der Schnittstelle eingelesen, wodurch wir Informationen aller Endpunkte für den Scan erhalten," erklärt Maier. Derzeit ist das API-Scannen zwar noch als Beta ausgewiesen, prinzipiell arbeite die Lösung aber bereits sehr stabil und zuverlässig. Zusätzlich lassen sich auch Zugangsdaten in das System integrieren, um nicht nur die Seite von außen zu scannen, sondern auch eingeloggt als Benutzer interne Bereiche zu untersuchen.

Für das Untersuchen einer Webseite stehen wiederum zwei unterschiedliche Scanmodi zur Verfügung. Ein Quickscan, der sich etwa für Seiten eignet, die in Produktion sind. Hierbei werden keine tiefgehenden Untersuchungen durchgeführt, denn für solche Analysen ist der Testmodus mit vollständigem Scan gedacht. "Bei diesem attackieren wir die Webseite mit dem Einverständnis des Betreibers." Während der Quickscan schon nach wenigen Minuten erste Ergebnisse zu den gefundenen Lücken liefert, benötigt der volle Scan hingegen mehrere Stunden, je nach Umfang der Webapplikation.

Während der Scan läuft, zeigt die Lösung in Echtzeit, welche Fehler gefunden wurden. Gleichzeitig werden zu den aufgedeckten Lücken in einer integrierten Datenbank Vorschläge zum Beheben der Lücken genannt. Außerdem erhalten Entwickler dort direkt Codebeispiele zum Beheben der Fehler. Der abgeschlossene Scan lässt sich nach Beendigung auch als PDF für die interne Nachweispflicht heruntergeladen. Zudem erlaubt Crashtest Security auch eine Übertragung der Ergebnisse an den Build Server. So kann bei kritischen Fehlern verhindert werden, dass die untersuchten Software-Versionen dennoch ausgerollt werden.