IT-Security

Web-Application-Tests mit Google-API

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Was haben Trüffelschweine und Spinnenschweine gemeinsam?

Das Trüffelschwein wird eingesetzt, um kostbare Pilze zu finden. Das Spinnenschwein - zu Englisch "Spider-Pig" - könnte demnächst dazu eingesetzt werden, Schwachstellen in der eigenen Website und in verknüpften Angeboten wie Bezahlservices oder Ad-Servern ausfindig zu machen. Das Wissen um diese Lücken ist schließlich ebenfalls ein kostbares Gut.

Zumindest wenn es nach IT-Security-Berater Fabian Mihailowitsch geht. Der bei Deloitte tätige Sicherheitsspezialist präsentierte auf dem 28c3 seine Hacker-Software "Spider-Pig", die die offene Custom-Search-API von Google verwendet, um Listen mit Web-Adressen zu produzieren und diese auf Schwachstellen abzusuchen.

Keywords - Score - Scan

Der Anwender gibt zunächst einige mit seinem Unternehmen verwandte Stichwörter ein, wie die Namen von Produkten, Vorstandsmitgliedern oder Firmensitze. Im zweiten Schritt vergibt die Software für jedes Stichwort einen bestimmten Score und scannt das Netz auf synonyme Keywords und die hierzu hinterlegten Websites. Ebenfalls durchsucht wird die Spider-Pig-Datenbank, die mit jeder Suchabfrage wächst. Der Score einzelner Stichworte verändert sich dynamisch während des Prozesses - Wörter, die in der Datenbank bereits in ähnlichem Kontext hinterlegt sind, oder manuell durch den Anwender nachgetragene Keywords erhalten eine höhere Gewichtung als automatisiert aufgespürte ähnliche Begriffe. Vergleichbar ist diese Vorgehensweise mit dem des Google-Pageranks. So entsteht über einen komplexen Algorithmus eine zuverlässige Liste mit Web-Adressen, die sich im direkten oder indirekten Umfeld des zu testenden Unternehmens bewegen. Automatisierte Whois-Abfragen stellen zudem sicher, dass nur offizielle Web-Angebote in den Test mit einbezogen werden.

Im dritten Schritt nimmt die Software an allen ermittelten URLs einen Security-Test vor, entweder vollautomatisiert oder nach den individuellen Wünschen des Benutzers. Mit verschiedenen Angriffsvektoren werden nun bekannte Sicherheitslücken aufs Korn genommen und so die Resistenz der getesteten Seiten gegen diese Angreifer geprüft.

Erste Tests seien laut Mihailowitsch schon bei einem sehr geringem Budget (unter 200 Euro) erfolgreich verlaufen - so habe man im Umfeld eines großen internationalen Konzerns unzählige Web-Schwachstellen aufspüren können. Offiziell verkauft werde das Spider-Pig bislang jedoch noch nicht. Vorstellen kann sich das Entwicklerteam um den IT-Sicherheitsberater aber durchaus einen Web-Service, über den Unternehmen schnell und kostengünstig einen detaillierten Sicherheitscheck vornehmen könnten.