In diesem Interview mit Manuel Ziegler erfahren Sie Neuigkeiten zum Buch „Web Hacking“, warum der Leser aus Sicherheitsgründen die Haltung des Hackers einnehmen wird und wer im Gewinnspiel eines seiner drei Buchexemplare gewonnen hat.

Herr Ziegler, in Ihrem neuen Buch „Web Hacking“ können sich die Leser, die ihres Zeichens als Webentwickler arbeiten, in die Position des Angreifers von Web-Anwendungen begeben, um Praxiserfahrungen als Hacker zu sammeln. Wie wichtig ist Ihnen diese Praxiserfahrung für die Softwareentwicklung im Hinblick auf ein umfassendes Verständnis von Sicherheitsrisiken und -lücken?

Ich glaube, dass sich viele komplexe Zusammenhänge in der IT Sicherheit nicht ohne ein großes Maß an Praxiserfahrung begreifen lassen. Vor allem Exploits, bei denen keine konzeptionellen Fehler für die entstehenden Sicherheitslücken verantwortlich sind, können nur mit sehr viel Erfahrung oder durch intensives Testen der Anwendung gefunden werden.

Wenn man Sicherheitslücken vor potenziellen Angreifern finden will, muss man sich also tatsächlich auch in die Lage eines Angreifers versetzen und aus dieser Sicht die Sicherheit von Webapplikationen bewerten.

Sie veranschaulichen Sicherheitslücken anhand verschiedenster Beispielszenarien und geben den Lesern die Möglichkeit, Hacking-Übungen im eigens von Ihnen kreierten Playground zu absolvieren. Wie genau funktioniert der Playground und wie wird er angenommen?

Der Playground besteht aus einzelnen Levels unterschiedlicher Schwierigkeitsgrade, die in aller Regel jeweils eine Sicherheitslücke enthalten. Als Angreifer sind Sie angehalten, diese Sicherheitslücke zu finden und auszunutzen.

Belohnt werden Sie jeweils mit Punkten, die Ihnen dann dazu dienen, sich mit anderen zu messen. Neben diesen ausgewiesenen Levels gibt es auch einige Easter Eggs, mit denen Sie selbst beispielsweise Ihre Punktzahl kurzfristig, also bis zum nächsten Reset, manipulieren können oder die dem (ersten) Finder dauerhaft zusätzliche Punkte garantieren.

Genutzt wird der Playground bislang nur von einer Handvoll Nutzer, gerade in den letzten Tagen sind die Seitenaufrufe jedoch drastisch gestiegen. Der Grund: Immer mehr Nutzer greifen auf automatisierte Tools zur Passwortgenerierung oder zum Auffinden von Verzeichnissen zurück.

Nun haben Sie sich auch in Ihrem Artikel „Wozu brauchen Hacker einen Playground“ kritisch mit den moralischen Fragen vor dem Hintergrund des praktischen Nutzens eines Playgrounds für Hacker auseinandergesetzt: Sind die Fehler, die in der Software-Entwicklung gemacht werden, tatsächlich noch so gravierend, dass es einen Playground als legalen Ort für Hacking-Übungen braucht?

Das hängt natürlich sehr stark davon ab, von welcher Art von Software wir sprechen. Sicherlich: Plattformen wie Google sind heute sehr professionell entwickelt und weisen trotz ihrer Größe erstaunlich wenig Sicherheitslücken auf. Leider sind nicht alle Webanwendungen, ja nicht einmal alle großen Webanwendungen sicher. Selbst Plattformen wie Facebook haben immer wieder mit erheblichen Sicherheitslücken zu kämpfen und Whatsapp, um ein weiteres populäres Beispiel zu nennen, war in seinen Anfangsjahren so unsicher, dass man sich als Angreifer ohne weiteres als sein Opfer ausgeben konnte und nicht nur für Fremde bestimmte Nachrichten lesen, sondern sogar Nachrichten im Namen seiner Opfer versenden konnte.

Meiner Meinung nach ist es durchaus wichtig für das Internet, dass solche Sicherheitslücken von Hackern aufgedeckt werden, doch das sehen viele Unternehmen anders. In jedem Fall ist es für einen Angreifer nicht ungefährlich, Sicherheitslücken in fremden Webanwendungen zu suchen, schließlich kann ihm das sehr schnell als absichtlicher Kompromittierungsversuch ausgelegt werden.

Deshalb und weil sich im Playground Sicherheitslücken auch auf eine für Anfänger verständliche Form herunterbrechen lassen, sehe ich in einem Playground einen großen Mehrwert.

Sind die Herangehensweisen und Praktiken des Hackers auch Teil des Studiums/der Ausbildung von Softwareentwicklern? Wie bzw. durch welche Methoden lernt der Softwareentwickler bisher, die Anwendungen sicher zu gestalten?

Die Herangehensweisen eines Hackers werden in der Lehre zwar zunehmend häufiger vermittelt, diese Kurse und Vorlesungen richten sich jedoch sehr häufig hauptsächlich an Entwickler, die sich auf IT-Sicherheit spezialisiert haben. Das ist schon bei reinen Informatikstudiengängen nur ein sehr geringer Anteil. Noch geringer ist dieser Anteil bei Medieninformatikern, Wirtschaftsinformatikern und ähnlichen Fächerkombinationen.

Dennoch sind es meist Absolventen dieser kombinierten Studiengänge oder ausgebildete Fachinformatiker, die später in der Webentwicklung tätig sind. Auf Sicherheit spezialisiertes Personal ist in den Entwicklungsprozess von Webanwendungen nur sehr selten involviert und wenn, dann hauptsächlich in der konzeptionellen Phase, wenn es darum geht, Authentifikationsprozesse zu entwerfen oder sichere Kommunikationsprotokolle zu integrieren.

Angriffe auf Webanwendungen setzen heute in aller Regel jedoch nicht an diesen Punkten an, das wäre zu aufwendig. Vielmehr nutzen Hacker heute vermehrt Schwachstellen im Code der Anwendungen oder zugunsten der Benutzerfreundlichkeit vernachlässigte Sicherheitslücken für Ihre Angriffe.

Hier sind in aller Regel nicht die Sicherheitsexperten, sondern die Webentwickler gefragt, diese Schwachstellen zu bekämpfen, und die laufen den Angreifern in aller Regel meilenweit hinterher! Explizit getestet wird die Sicherheit von Webanwendungen ohnehin nur in sehr wenigen Fällen.

Unit-Testing und Test-Driven-Development helfen zwar bei der Bekämpfung von Software Exploits ungemein, in aller Regel jedoch halten sich Webentwickler zur Vermeidung von Sicherheitslücken lediglich an eine handvoll Regeln, die nicht ansatzweise alle Facetten von Schwachstellen im Code beseitigen können.

Bis letzten Freitag lief ja das Hacking-Gewinnspiel als Vorgeschmack auf den Playground, in dem die Teilnehmer einen kleinen Eindruck von den im Buch beschriebenen Hacking-Methoden bekommen konnten. Es galt, einen dreistufigen Hacking-Angriff durchzuführen. Die Aufgaben waren mit Ihren ausführlichen Hilfestellungen auch für Anfänger lösbar. Das Gewinnspiel startete mit unserem gemeinsamen Interview bereits am 16. Mai und begleitete das Erscheinen Ihres Buches im Juni. Wie war denn die Resonanz auf das Gewinnspiel?

Insgesamt haben 57 Personen am Gewinnspiel teilgenommen, was durchaus ordentlich, wenngleich nicht überwältigend ist. Im Blog von Ralph Günther (Exali) wurde das Gewinnspiel am 26. Mai als Fundstück der Woche vorgestellt und auf der Seite infotechnica.de gab es einen kurzen Bericht darüber.

Generell hatte ich den Eindruck, dass das Gewinnspiel bei den Teilnehmern sehr positiv ankam. Das freut mich natürlich sehr.

Interessant waren auf jeden Fall auch die Zeiten der unterschiedlichen Nutzer. Während viele Nutzer das Gewinnspiel in weniger als 20 Minuten gelöst hatten, gab es tatsächlich einige Nutzer, die die Disziplin hatten, mehrere Stunden zu rätseln und teilweise sogar am nächsten Tag wiederzukommen. Meinen Respekt dafür; das sind Nutzer, die offensichtlich auch die nötige Disziplin dazu haben, gute Hacker zu werden.

Wie stark haben Sie sich denn bei der Modellierung des Gewinnspiels an der Realität orientiert?

Natürlich sind die Aufgaben des Gewinnspiels auf ein Niveau heruntergebrochen, das es auch Anfängern ermöglicht, diese zu bearbeiten. In der Realität sind Sicherheitslücken wesentlich komplexer.

Wichtig war mir bei dem Gewinnspiel, die wichtigsten Typen von Sicherheitslücken darzustellen. Die Teilnehmer nutzten so im ersten Schritt ein Software-Exploit, um sich Zugang zur Administratoroberfläche eines Webchats zu verschaffen. Im zweiten Schritt mussten sie ein Passwort knacken und im dritten Schritt ging es darum, eine einfache Verschlüsselung zu knacken.

Das alles sind Szenarien, mit denen Sie sich als Angreifer täglich konfrontiert sehen, wenngleich in größerem Umfang.

Dann verraten Sie uns  nun noch, wer die glücklichen Gewinner des Gewinnspiels sind?

Über je ein Exemplar meines Buches „Web Hacking“ dürfen sich Christian Finker, Florian König-Heidinger und Lui freuen.

Herzlichen Glückwunsch!

 Ja, auch wir gratulieren den drei Gewinnern!

 

Ziegler, Web HackingUnd hier gehts zum Buch „Web Hacking