Eine gute Übersicht aller bereits bekannter Schwachstellen für Software-Produkte zu erhalten, ist oft schwieriger und komplexer, als man zunächst annimmt. Die Anforderungen an ein entsprechendes Tool oder einen Service sind vielfältig und können von aktuell verfügbaren Anbietern nicht komplett abgedeckt werden. Unser usd HeroLab Kollege Dustin Born hat sich dieser Herausforderung angenommen. Das Ergebnis: search_vulns.
Dustin hat sich Zeit für ein kurzes Interview mit uns in der usd HeroLab Lounge genommen:
Dustin, was ist eigentlich die Geschichte hinter search_vulns?
Ein Bestandteil unserer Pentests ist es, eingesetzte Software und deren Versionen auf bekannte Schwachstellen und Exploits zu untersuchen. In der Vergangenheit bemühten wir verschiedenste Suchmaschinen, um eine vollständige Übersicht zu erhalten. Dabei hatte ich mich immer an meine Bachelorarbeit erinnert, in der eben genau das ein Unterthema war. In der Arbeit hatte ich einen automatischen Schwachstellenscanner entwickelt. Eine Anforderung war unter anderem, ein Scanner-Modul für die Suche von bekannten Schwachstellen unter Eingabe einer Software und der dazugehörigen Version zu inkludieren. Da das allerdings nicht der Hauptfokus der Arbeit war, sind die Ausführungen dazu noch eher rudimentär gewesen.
Als ich später bei der usd angefangen hatte und bei unseren Pentests häufig mit dieser Suche konfrontiert wurde, dachte mir: Kann ich das damalige Modul nicht herausziehen, als selbstständiges Tool bauen und sogar noch verbessern? Die Herausforderung habe ich mir dann geschnappt. Heraus kam ein selbst entwickeltes Tool: search_vulns.
Dieses gestaltet die Suche einfacher und effizienter und wurde in den letzten Jahren durch das Feedback meiner Pentest-Kolleg*innen stetig weiterentwickelt.
Einfacher und effizienter klingt super, wie genau funktioniert search_vulns?
search_vulns hilft strukturiert nach bekannten Schwachstellen und Exploits für die jeweilige Softwareversion zu suchen. Dabei inkludiert es verschiedene Datenquellen, fasst diese zusammen und stellt anschließend eine allumfassende Suche bereit. Zurzeit greift das Tool auf die Daten der National Vulnerability Database (NVD), der Exploit-DB und der GitHub Security Advisory Database sowie auf Daten von endoflife.date, PoC-in-GitHub und VulnCheck zurück. Anschließend können die Ergebnisse in der Webanwendung weiter aufbereitet und exportiert werden. Zusätzlich existiert auch ein Kommandozeilenprogramm, welches beispielsweise für automatisierte Workflows in Scannern verwendet werden kann. Dies ermöglichte z.B. die Integration von search_vulns in unserem eigenen Schwachstellenscanner „Icebreaker“ und erleichtert uns damit den Arbeitsalltag im usd HeroLab.
Vom HeroLab in die weite Welt. Wie kam es zu der Entscheidung, search_vulns der gesamten Community zur Verfügung zu stellen?
Ich bin selbst ein großer Freund von Open Source Software. Jede*r kann Open Source Software für den eigenen Bedarf verwenden – natürlich im Einklang mit den Lizenzvereinbarungen. Daher habe ich das Tool selbst, bzw. den Code, von Anfang an unter meinem GitHub-Account veröffentlicht und entwickelt. Wir nutzen search_vulns im usd HeroLab schon lange, entweder als Basis für unsere Analysen und Berichte oder als Scan-Baustein im Icebreaker. Das Feedback der Kolleg*innen auf das Tool war so positiv, dass der nächste Schritt klar war: Die Nutzung auch einer größeren Community zu ermöglichen und eine öffentliche Instanz der Webservice-Komponente bereitzustellen.
Bietest du damit nicht auch böswilligen Angreifern mögliche Methoden zur Kompromittierung ihrer Ziele?
Diese Frage habe ich selbstverständlich auch mit meinen Kolleg*innen und anderen Ethical Hackern ausführlich diskutiert. Natürlich bündelt search_vulns ausführliche Informationen über Schwachstellen von Softwareprodukten, die bei Unternehmen im Einsatz sind und von Angreifern ausgenutzt werden könnten. Doch der Mehrwert für alle auf der guten Seite und für Verantwortliche in den Unternehmen überwiegt diese Bedenken. Denn einfach zugängliche Informationen über bereits bekannte Schwachstellen können helfen, sich besser gegen eben diese Angreifer zu schützen.
Vielen Dank Dustin für deine Zeit und deinen Einsatz!
„Dustin brennt für unsere Mission #moresecurity. Er stand vor einem Problem und es hat ihn auch abseits von seinen Projekten nicht losgelassen. Dass er nun sein Tool, in dem viel Mühe und Zeit stecken, der Security Community zur Verfügung stellt, finden wir alle in der usd sehr bemerkenswert. Und ich freue mich ganz persönlich, wenn Kolleg*innen über unsere Kunden hinaus einen Beitrag leisten“, ergänzt Matthias Göhring, Head of usd HeroLab und Vorstand der usd AG.
Erfahren Sie mehr über search_vulns und probieren Sie es direkt aus: https://search-vulns.com
