„I hacked the german armed forces, and all I got“ …

gepostet am 04.03.2022 von

Eine Vulnerability Disclosure Policy, kurz VDP, ist eine klasse Sache. Der neugierige Sicherheitsforscher wird dazu animiert Schwachstellen aufzudecken und zu melden. Als Belohnung winken hierbei oftmals Goodies, wie beispielsweise Tassen oder T-Shirts. Dieser Blogbeitrag handelt davon, wie ich die Bundeswehr gehackt habe und nicht nur ein lausiges T-Shirt dafür bekommen habe.

For english version see my personal blog page.

Es ist noch gar nicht so lange her, da hat mich ein alter Freund darauf hingewiesen, dass die Bundeswehr über eine Vulnerability Disclosure Policy verfügt. „Was ist das?“ – höre ich den Leser jetzt fragen.

Vulnerability Disclosure Policy

Eine Vulnerability Disclosure Policy erlaubt es einem Sicherheitsforscher, wie beispielsweise mir, ungestraft das Netzwerk der Bundeswehr zu hacken. Klingt zu gut um wahr zu sein? Nein, ist ehrlich wahr. Einzige Auflage ist es, dass eine aufgedeckte Verwundbarkeit eines Systems im Netzwerk der Bundeswehr nicht dafür genutzt wird, um Daten zu extrahieren, sondern verantwortungsvoll an die entsprechende Dienststelle gemeldet wird.

Motivation

Der findige Leser denkt jetzt sicher grade – „Gratis Pentests, spitze!“ – und ja, da liegt vielleicht ein Quäntchen Wahrheit darin. Allerdings muss es sich für einen Sicherheitsforscher auch lohnen. Neben Ruhm und Anerkennung winken oft Goodies, wie beispielsweise Tassen oder T-Shirts als Belohnung. Nun ist es aber so, dass ich bereits genug T-Shirts im Schrank habe und Tassen habe ich so viele, dass ich nicht genügend Kaffee kochen könnte, um sie zu füllen.

Vulnerability Disclose Policy dutch government

Tja, glücklicherweise ist die Bundeswehr nicht die niederländische Regierung. Und glücklicherweise gibt es bei der Bundeswehr einen viel cooleren Preis – die VDPBw-Coin.

Das sollte also genug Motivation sein, um loszulegen.

Vorgehen

Wie geht man nun aber vor, wenn man „die Bundeswehr hacken“ will. Anders als bei einem Penetrationstest befindet man sich in einer Situation, in der man nichts weiter als den Namen seines Zieles kennt.

Zum Vergleich: Bei einem Penetrationstest einigt man sich vor dessen Beginn auf einen „Scope“, also was angegriffen werden soll und auf ein Ziel, also was soll der Penetrationstester erreichen.

Im Gegensatz dazu nennt einem die Bundeswehr aber nicht die Systeme, die man angreifen soll. Das muss man also schön selbst herausfinden.

Aufklärungsarbeit

Das bedeutet, zuerst muss man etwas Aufklärungsarbeit (Reconnaissance) leisten. Fast wie bei der Bundeswehr, richtig?

Neben Quellen, wie etwa der RIPE-Datenbank oder Shodan kommen hierbei auch Angriffe, wie beispielsweise Subdomänen raten und Analyse von Webzertifikaten ins Spiel.

Das Ziel der Aufklärungsarbeit ist es möglichst viele Domänen und Subdomänen des Angriffsziels herauszufinden. Dies bildet die Grundlage für die nachfolgenden Angriffe.

Netzwerkanalyse

Hat man nun genügend Domänen eingesammelt, wird der Test auch schon etwas „praktischer“. Während der Netzwerkanalyse werden verfügbare Dienste identifiziert, Webseiten automatisiert betrachtet und Produktversionen eingesammelt.

So kann der Sicherheitsforscher seine Angriffe weiter schärfen. Auch das Erraten von gültigen Pfaden und Dateien auf Webservern spielt eine elementare Rolle.

Der Fund

Hat der Sicherheitsforscher dann etwas interessantes gefunden (Eine Webpage die alt aussieht, typische Anwendungen mit Verwundbarkeiten, Error- oder Debugseiten die Informationen preisgeben) dann heißt es Handarbeit.

Ein Fund ist nur dann ein Fund, wenn er bewiesen werden kann. Zumindest ist dies meine Leitlinie für das Aufspüren einer Verwundbarkeit. Das heißt in diesem Fall, dass man die Scan-Ergebnisse von Hand reproduzieren können muss.

Oft entstehen hierbei sogar noch viel tiefgreifendere Möglichkeiten für die Ausnutzbarkeit einer Schwachstelle.

Ich verzichte in diesem Artikel bewusst darauf, Schwachstellen zu nennen, die ich gefunden habe oder Details darüber preiszugeben. Aber man darf mir glauben, wenn ich sage, dass vom einfachen Infoleak (weniger interessante Debuginformationen) bis hin zur SQL-Injection (direkte Interaktion mit der zugrundeliegenden Datenbank) alles dabei war, alles 😀 .

Nun folgt der entscheidende Teil.

Das Reporting

Damit die Meldung der Schwachstelle für den Angegriffenen auch nachvollziehbar ist und der Angegriffene diese entsprechend schließen kann, ist es wichtig, dass das Reporting ausführlich ist.

Dafür stellt die Bundeswehr sogar eine Vorlage und eine zentrale E-Mail-Adresse zur Verfügung.

An diese Adresse richtet man folglich Details, wie die Nachfolgenden:

  • Bezeichnung der Schwachstelle
  • Schwachstellentypus
  • Eine Zusammenfassung (nicht technisch)
  • Was ist betroffen und wie wird es ausgenutzt
  • Technische Details zur Nachvollziehbarkeit
  • Proof-of-Concept (im besten Fall ein klickbarer Link)
  • Und ganz wichtig: Ein Lösungsansatz

Im Wesentlichen unterscheidet sich eine solche Meldung nur wenig bis gar nicht von einem Report, der aus einem Penetrationstest entsteht.

Diese Informationen schickt man dann verschlüsselt (PGP) an die bereitgestellte E-Mail-Adresse. Eine Eingangsbestätigung folgt dann kurz darauf.

Nun heißt es warten…

Der Erfolg

Wie bekomme ich eigentlich mit, ob das geklappt hat?

Wer dem „Cyber- und Informationsraum Bundeswehr“ – kurz cirbw – auf Twitter folgt, kann eine solche Meldung mit dem Hashtag #VDP aufschnappen.

Vulnerability Disclosure Policy Tweet cirbw

Und mit etwas Glück entdeckt man dann seinen eigenen Namen wieder. Oder man schaut mal in der Hall-of-Fame der Bundeswehr vorbei.

Auszeichnung

Hat man drei oder mehr Verwundbarkeiten gemeldet, so qualifiziert man sich für die VDPBw-Coin, die einem postalisch zugeht. Und, was soll ich sagen?

Chic, oder?

VDPBw-Coin

Fazit

Hat es sich gelohnt, mitzumachen? Ja, ich würde sagen, dass es ziemlich viel Spaß gemacht hat.

Hätte ich es auch für ein T-Shirt oder eine Tasse gemacht? Sicher doch! Oder auch einfach so. Das ist Ehrensache.

Möchten Sie auch gerne mal einen Penetrationstest erleben?

Melden Sie sich gerne unter der E-Mail-Adresse: vertriebsinnendienst@to.com.

 

Auf dem Laufenden bleiben

Folgen Sie uns auf LinkedIn, XING oder Twitter, um Neuigkeiten aus der Cyberwelt zu erfahren.

 

Live-Webinar: Managed SOC Service für den Mittelstand

Weil technische Abwehrmaßnahmen allein nicht mehr ausreichen:
In einem Security Operations Center (SOC) ergänzen sich hochleistungsfähige Sensorik und erfahrene IT-Security-Experten für maximalen Schutz gegen Cyberbedrohungen.

SOC-Manager Philipp Zeh gibt Ihnen im Kompakt-Webinar Einblick in die Funktionsweise eines SOC und zeigt, wie gerade Betriebe mit begrenzten IT-Kapazitäten von einem SOC-as-a-Service profitieren.

Termine
Dienstag, 8. März 2022, 14 Uhr
Dienstag, 15. März 2022, 14 Uhr

Jetzt anmelden und Plätze sichern!
Keine Zeit an diesen Terminen? Kein Problem, sie erhalten die Aufzeichnung im Nachgang.

 

Autor/in

Patrick
Hener

IT-Security Consultant

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen
Array

Dies könnte Sie auch interessieren

AdvisoryCyber SecurityIT-Security

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *