Responsible Disclosure ist nicht immer leicht
Das Entdecken von neuen, unbekannten Schwachstellen macht Spaß, keine Frage. Eher unspaßig ist aber, was man dann als guter Pentester Mensch mit den gewonnenen Informationen anstellt. In diesem Blogpost beleuchte ich Probleme in der Kommunikation zwischen Pentester und Softwarehersteller und möchte auch ein paar Tipps an die Hand geben – für beide Seiten.
Penetrationstests von EBICS Schnittstellen und Webservices
Electronic Banking Internet Communication Standard (=EBICS) ist ein in Deutschland von der deutschen Kreditwirtschaft definierter, multibankfähiger Standard zur Übertragung von Zahlungsverkehrsdaten über das Internet. Er hat den veralteten BCS-Standard abgelöst. Stark vereinfacht gesprochen werden dabei XML-Nachrichten definiert, die verschlüsselt und signiert meist über eine per TLS gesicherte Webservice-Schnittstelle zu den Banksystemen übertragen werden.
Nahezu jede Bank in Deutschland bietet eine über das Internet für jedermann erreichbare Schnittstelle nach diesem Standard an, um den Zahlungsverkehr über das Internet abwickeln zu können. Folglich unterliegen auch diese Schnittstellen der Regulierung und es müssen in regelmäßigen Abständen Sicherheitsüberprüfungen, z. B. in Form eines Penetrationstests, durchgeführt werden, um Schwachstellen und damit verbundene Risiken zu identifizieren.
Domainfactory Hack – „wir tun was wir können“
Die Älteren mögen sich erinnern: „Wir tun was wir können“ ist die Aussage einer völlig überforderten Mitarbeiterin der AOK im Stück „Auslandskrankenschein“ von Michael Mittermeier aus dem Programm „Zapped„. So erging es mir heute mit Domainfactory. Domainfactory ließ eine Dame bei uns anrufen. Sie fragte wie es mir mit Domainfactory so ginge. Man hätte ja Herausforderungen gehabt. Ich habe sie […]
weiterlesen …
secuvera beim Rothaus Mudiator
Am 30. Juni 2018 fand in Horb der erste Rothaus Mudiator (vormals Tough Mudder) statt. Das erste Mal traten Kollegen der secuvera gemeinsam zum 8km langen Hindernislauf an. Respektable 1:11:03 Stunde später auf den Rängen 63 und 64 bzw. Rang 6 und 12 in der jeweiligen Alterklasse, konnte das Finisherbier gemeinsam genossen werden. Die über 20 sehr unterschiedlichen Hindernisse wurden […]
weiterlesen …
secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt
Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …