Warum sperrt aspectra Penetrationstests?

Die Firma Qualys, ein IT Dienstleister im Bereich von Sicherheit und Audits, bietet seit einiger Zeit verschiedene kostenlose Security Scans auf ihrer Website an. Wir haben diese Scans detailliert angeschaut und ziehen daraus ungewöhnliche Konsequenzen.
Zurzeit gibt es vier Scans deren Ergebnisse in Reports zusammengefasst werden:
- Der Vulnerability Scan analysiert das zu überprüfende System auf bekannte Netzwerk- und Applikationsschwachstellen. Die verwendete Wissensdatenbank, wie man die Schwachstellen erkennt, ist das Kernstück der Firma Qualys und wird täglich aktualisiert. Falls bereits Malware auf dem Server ist und über diesen verbreitet wird, wird diese ebenfalls erkannt.
- Der OWASP Risc Scan (Open Web Application Security Project) überprüft die Webapplikation auf mögliche Schwachstellen, um z.B Cross-Site Scripting, SQL Injection, Directory Traversal oder unsichere Server Konfigurationen aufzudecken.
- Der Patch Tuesday Scan zeigt, ob bekannte Patches an Betriebssystemen oder Applikationen fehlen.
- Der SCAP Complete Scan (Security Content Automation Protocol, ausgesprochen „ess-kap“) kombiniert eine Reihe von offenen Standards, die verwendet werden, um Software-und Konfigurationsfehler in Bezug auf Sicherheit darzustellen.
Die Analysen werden in einem Threat Report dargestellt (siehe Bild) und bieten einen schnellen und groben Überblick auf ein System. Die Schwachstellen werden in fünf Risikokategorien unterteilt und mit der jeweiligen CVE (Common Vulnerabilities and Exposures) Nummer versehen. Zudem wird jede Schwachstelle genau beschrieben, welche mögliche Auswirkungen sie hat, und wie sie behoben werden kann.
Die kostenlosen Analyse Tools entsprechen den heutigen Sicherheitsstandards und erhöhen das Bewusstsein für angreifbare Systeme. Qualys bietet weitergehende Scans an – gegen Geld versteht sich. Ich sehe darin aber auch eine potentielle Gefahr für Ihre Website:
- Jedermann kann irgendein System scannen, der Benutzer bleibt bis auf eine E-Mail Adresse anonym.
- Der Betreiber oder Besitzer des gescannten Systems sieht diese Scans ohne entsprechende Schutzmechanismen wie IDS (Intrusion Detection System) oder WAF (Web Application Firewall) nicht. Er wird auch nicht aktiv über einen Scan informiert.
- Die Scans sind einfach zu bedienen und bieten Kriminellen eine kostenlose, schnelle und einfache Suche nach potentiellen Schwachstellen.
- Leider ist es nicht immer möglich alle Server bzw. Applikationen auf dem neusten Stand zu patchen, denn Abhängigkeiten verhindern in der Praxis oft das zeitnahe Patchen: Ob der Service nach dem Patch noch einwandfrei funktioniert muss heutzutage aus Qualitäts- und Verfügbarkeitsgründen mehrfach getestet werden. Im besten Fall auf einer Entwicklungsumgebung und auf einer produktionsnahen Testumgebung bevor diese auf die Liveumgebung installiert werden. Solche Entwicklungs- und Testprozesse können Wochen oder sogar Monate in Anspruch nehmen.
- Werden Systeme in wenigen Monaten durch neue ersetzt verzichtet man pragmatischerweise oft auf das Patchen.
- Unser IDS Systeme sehen öfters Scans aus dem Qualys IP-Range ohne dass wir darüber informiert werden. Fragen wir bei unseren Kunden nach, ob sie solche Scans durchführen, stellen wir fest, dass diese oft nicht von einem Kunden durchgeführt wurden. Wir sehen darin unsere Vermutung bestätigt: Der Scan wird zweckentfremdet.
Aus diesem Grund hat sich die Aspectra nach Absprache mit externen Sicherheitsberatern entschieden, den Zugriff von allen IP Adressen der Qualys auf alle IP Adressen der Aspectra zu sperren. Sehen wir andere Sicherheitsanbieter, welche anonyme Tests zulassen, werden diese nach einer Prüfung ebenfalls sperren.
Falls einer unserer Kunden Schwachstellenscans durchführen will, werden wir die IP-Adressen für diesen Scan selbstverständlich zulassen und danach wieder sperren. Falls ein Kunde regelmässig Scans durchführt werden wir für diese Fälle eine für beide Parteien pragmatische Lösung finden.
Weiterführende Links:
Qualys
Open Web Application Security Project