Decrypting company security

Für einen globalen Konzern wurde von uns eine Webanwendung, sowie ein Rich Client zur Software-Entwicklung getestet. Zudem war dabei eine Agent-Anwendung von Bedeutung, die über die Anwendung angesteuert werden konnte. Hierbei handelte es sich um ein komplexes System aus vielen zusammenspielenden Komponenten - und vielen Möglichkeiten für Angriffe über Sicherheitslücken.

Manchmal macht es sich durchaus bezahlt, einen längeren Testzeitraum zu wählen, um Anwendungen oder Systeme gründlichst auf Herz und Nieren zu prüfen. Denn in den letzten Tagen des Projekts waren wir nicht nur in der Lage, beliebige Kommandos über die Client-Anwendung am Agent auszuführen, sondern auch Server-Instanzen in der Systemumgebung des Kunden zu erzeugen und zu stoppen.

Für ein globales Sportartikelunternehmen sollte an drei Firmenstandorten die Sicherheit der Zahlungsprozesse untersucht werden. Ein grundsätzlich unterschätzter Angriffsvektor ist dabei die Absicherung der verwendeten Schnittstellen zwischen den Tools und bis hin zur Bank. Wenigen ist bewusst, dass hier oft sogenannte Zahlungsdateien (meist XML) verwendet werden, welche alle Kontoinfos und somit auch das Empfängerkonto enthalten.

Dateitransfer, you say? Das Wort Schnittstelle ist in diesem Kontext nicht immer korrekt, weil hierbei die Schnittstelle der Mensch ist. Das heißt die Zahlungsdatei wird vom lokalen Gerät von einer Person auf eine Dateifreigabe im Netzwerk kopiert. Dies führt dazu, dass die Datei nicht nur potentiell bei der Übertragung, sondern auch überall dort modifiziert werden kann, wo sie abgelegt wird. Interne Angreifende können dies nutzen, um das Empfängerkonto in der Datei auf das eigene zu ändern. Je nach Zahlungsart fallen dabei durchaus nennenswerte Summen an.

Wie kann man das verhindern? Kurzfristig lohnt es sich, die Zahlungswege mit bestehenden einfachen Mitteln abzusichern. Das bedeutet, Übertragungswege verschlüsseln und Berechtigungen so gut wie möglich einzuschränken. Auf lange Sicht handelt es sich hier leider um einen aufwändigeren Task! Da müssen Strukturen und Schnittstellen geschaffen werden, die Zugriffe durch Mitarbeitende unnötig machen.

Um in einem Social Engineering Assessment interner Netzwerkzugriff zu erhalten, mussten wir zuerst Zutritt zum Gebäude erlangen. Deshalb entwarfen wir folgendes Szenario und setzen es um:

Ein Mitarbeiter von uns wartete in Anzug und Krawatte vor dem Unternehmen auf sein Stichwort. Ein zweiter Mitarbeiter tätigte aus sicherer Entfernung einen Anruf von der gefälschten Nummer eines Vorgesetzten an den Empfang: Er habe ein sehr wichtiges Meeting und der Kunde ist verspätet. Wenn der Kunde kommt, müsste dieser bitte so schnell wie möglich durchgeschleust werden.

Der erstgenannte Mitarbeiter lief nun gehetzt zum Empfang, musste gar nicht mehr viel sagen und wurde ohne Kontrolle vorbeigelassen. Das Resultat: Freie Bewegungsmöglichkeit innerhalb des Gebäudes!