Neustart des PunkSpider-Tools auf der DEF CON sorgt für Debatten

  • Forscher planen, auf der DEF CON eine Neuauflage von PunkSpider vorzustellen, das dabei hilft, Schwachstellen in Websites zu identifizieren, damit Unternehmen ihre Backend-Systeme sicherer machen können.

    Forscher werden einen Neustart eines umstrittenen Tools veröffentlichen, das das Web durchkämmt, um Back-End-Schwachstellen in Websites zu identifizieren, in der Hoffnung, dass Unternehmen diese schnell beheben und Sicherheitsrisiken reduzieren.

    Experten haben jedoch gemischte Gefühle gegenüber dem Tool namens PunkSpider, das von der Analysefirma QOMPLX entwickelt wurde. Sie befürchten, dass das Tool von Hackern missbraucht werden könnte, um Schwachstellen auszunutzen, bevor die Unternehmen Zeit haben, sie zu beheben.

    Alejandro Caceres, Director of Computer Network Exploitation bei QOMPLX, und der Hacker Jason Hopper werden nächste Woche auf der DEF CON eine überarbeitete Version von PunkSpider vorstellen.
    QOMPLX nannte den Anstieg von Ransomware als einen der Gründe für den Neustart von PunkSpider, das “ein einfaches und massiv skalierbares Überwachungstool bietet, das schnell Lücken in der kollektiven Verteidigung aufdeckt, indem es hervorhebt, welche Websites leicht zum Opfer von Angreifern werden können”, heißt es in einer Pressemitteilung. Das Tool kann Internetnutzern und der Cyber-Community eine “gemeinsame Perspektive” auf die spezifischen Gefahren des Webs bieten, so das Unternehmen.

    “Wir wollen, dass jeder in der Lage ist, eine einfache Frage zu beantworten: Wie gefährlich ist das Internet, das ich nutze?”, sagte Jason Crabtree, CEO von QOMPLX, in einer Presseerklärung. “Unsere umfangreichen Recherchen haben eine große, aber leider nicht überraschende Anzahl grundlegender Sicherheitslücken im gesamten Web aufgedeckt. Die häufigen Schwachstellen, die PunkSpider aufspürt, sind ein wichtiger Indikator für das Gesamtrisiko, und ehrlich gesagt, wenn Website-Besitzer die grundlegenden Schwachstellen nicht beheben, ist es unwahrscheinlich, dass sie größere Schwachstellen vollständig beheben.”

    Auf vielfachen Wunsch zurück?

    Caceres und Hopper sagten, die Nachfrage sei ein weiterer Grund, das Tool nach einer jahrelangen Pause zu aktualisieren und wieder einzuführen. Sie fügten hinzu, dass unzählige Probleme und negative Aufmerksamkeit das Tool, das ursprünglich von der Defense Advanced Research Projects Agency finanziert wurde, in den Winterschlaf zwangen.

    “Wir wurden oft nach dem Tool gefragt, das wie Shodan war, aber für Web-App-Vulns”, schrieben sie in einem Bericht über ihre Sitzung auf der DEF CON. “PunkSpider … wurde vor ein paar Jahren aufgrund mehrerer … Probleme und Bedrohungen abgeschaltet. Wir waren uns nicht sicher, in welche Richtung wir weiter expandieren sollten, und am Ende war es ein Albtraum, es aufrechtzuerhalten.”

    Das neue und verbesserte PunkSpider ist ein “komplett überarbeitetes” System, das auch die Fähigkeiten des Tools zum Auffinden von Schwachstellen erweitert, schreiben sie.

    “Es ist nicht nur viel effizienter mit verteiltem Echtzeit-Computing und prüft auf viel mehr Schwachstellen, wir [also] mussten einige kreative Wege durch den Wald nehmen”, schreiben Caceres und Hopper.

    Das neue Tool wird in der Tat über einen eigenen ISP und ein Datenzentrum in Kanada verfügen, um “frei verfügbare Daten zu integrieren, die jeder bekommen kann, von denen die meisten aber nicht wissen, dass sie verfügbar sind”, so die beiden. Bei den Daten, die sie meinen, handelt es sich um eine umfangreiche Sammlung bekannter Sicherheitslücken im Internet.

    Caceres und Hopper planen außerdem, auf der Konferenz Zehntausende von Sicherheitslücken zu veröffentlichen und bitten um Vorschläge, wonach man suchen sollte, um noch mehr zu entdecken.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/28134125/PunkSpider_Message-300x212.png]

    Ca. 2017: Diese Nachricht begrüßte die Besucher der PunkSpider-Website und warb für die Version 3.0 des offensiven Cybersicherheits-Testsystems.

    Bug Bounty Bonanza?

    Wie die Macher von PunkSpider wissen, ist jedoch nicht jeder von seinem Comeback begeistert.

    In Kommentaren, die an Wired gemailt wurden, sagte die Analystin der Electronic Frontier Foundation, Karen Gullo, dass die Leute hinter PunkSpider zwar “gute Absichten” haben, dass aber die Veröffentlichung der Schwachstellen nach hinten losgehen und den gegenteiligen Effekt haben könnte, den die Schöpfer beabsichtigten.

    “Die Veröffentlichung der Schwachstellen könnte die Administratoren dazu bringen, diese zu beheben. [these vulnerabilities]. Aber wir raten davon ab”, sagte sie gegenüber Wired. “Böswillige können die Schwachstellen schneller ausnutzen, als die Administratoren sie schließen können, was zu weiteren Sicherheitsverletzungen führt”.

    Und während viele auf Twitter ihre Unterstützung für das Tool geäußert haben – der Cybersecurity-Experte Stephen Frei bemerkte, dass “man nicht verwalten kann, was man nicht messen kann” – äußerten auch Kritiker auf der Social-Media-Plattform ihre Besorgnis über PunkSpider.

    Einer schlug vor, dass es die Möglichkeiten für ethische Hacker einschränken könnte, Belohnungen für das Auffinden von Schwachstellen zu erhalten, die ihnen derzeit von Unternehmen gewährt werden. “Vielleicht bin ich ja dumm, aber macht ein Tool wie dieses Bug Bounties nicht sinnlos?”, fragte der Twitter-Nutzer @thedragonisreal.

    In einer Antwort auf den Tweet wurde gekontert, dass PunkSpider sicherlich nicht jede Schwachstelle aufspüren wird, so dass es immer noch genug für ethische Hacker und Forscher geben wird, die Schwachstellen ausgraben und bei den Programmen der Unternehmen zur Belohnung einreichen können.

    Ein anderer Twitter-Nutzer warf ein ethisches Problem mit dem Tool auf, da es unnötigerweise Sicherheitslücken auf Websites aufzeigt, ohne zu beweisen, dass die Unternehmen entsprechend reagieren und die notwendigen Änderungen vornehmen, um sich zu schützen.

    “Ich bin mir nicht sicher, ob es eine gute Idee ist, Websites wie diese zu entlarven, ohne dass Daten vorliegen, die zeigen, dass es beim ersten Mal zu sinnvollen Änderungen geführt hat”, twitterte ein Nutzer namens @cypnk, der in der medizinischen Hardwarebranche tätig ist. “Wenn nicht, dann ist es unnötig bösartig.”[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com