PunkSpider: „Sollte ich ein Monster erschaffen haben, dann weil ich etwas tun musste“

PunkSpider – Ein umstrittenes Tool, das jede Website der Welt auf hackbare Schwachstellen prüft und diese für jeden zugänglich veröffentlicht.

Auf der Hacker-Konferenz Defcon wollen Alejandro Caceres und Jason Hopper ihr Tool „PunkSpider“ veröffentlichen. Beziehungsweise wurde es nach einer jahrelangen Pause aktualisiert und wird nun wieder online gehen. Die Beiden arbeiten als Forscher für das Cybersicherheits-Startup QOMPLX.

Nützlich oder gefährlich?

Das Ziel von PunkSpider ist es, alle Websites der Welt zu scannen. Und zwar auf hackbare Schwachstellen, die dazu genutzt werden könnten, die jeweilige Website zu verändern oder Datenlecks zu finden. Das heißt, das von Caceres und Hopper entwickelte Tool bietet somit eine Datenbank, die nach URL-Schlüsselwörtern, Art der Sicherheitslücke oder Schweregrad der Fehler durchsucht werden kann.

Grundsätzlich kann man dieses Tool mit einer Art Suchmaschine vergleichen, deren Ergebnisse eben Fehler auf Websites aufzeigt. Dabei kann es sich um einfache oder auch in einigen Fällen gefährliche Fehler enthalten. Die Schwachstellen, die dabei aufgezeigt werden, halten sich trotz jahrelanger Warnungen hartnäckig im Web.

Als ersten Gedanken hat man natürlich die Befürchtung, dass eben genau Hackern damit Arbeit erspart bleibt. Sie rufen PunkSpider auf und können dann wählen, welche Website sie denn heute für ihre Zwecke nutzen möchten. Caceres argumentiert jedoch, dass PunkSpider von großem Nutzen für Webadministratoren ist, da durch das Aufzeigen von Fehlern diese behoben werden können, was eben wiederum vor Hack-Angriffen schützen kann.

„Ich dachte mir: ‚Wäre es nicht cool, wenn ich das gesamte Web nach Schwachstellen durchsuchen könnte? Und um es noch lustiger zu machen, wäre es nicht cool, wenn ich all diese Schwachstellen kostenlos veröffentlichen würde? Ich wusste, dass es irgendwelche Auswirkungen haben würde. Und nachdem ich angefangen hatte, darüber nachzudenken, dachte ich wirklich, dass sie gut sein könnten“, so Caceres.

Wie funktioniert PunkSpider?

Das Tool scannt Webseiten automatisch und prüft auf sieben Arten von ausnutzbaren Fehlern. Auch werden wiederholt gängige Hack-Methoden eingesetzt, um herauszufinden, ob eine Webseite angreifbar ist oder nicht.

Die Schwachstellen, die dadurch gefunden werden, könnten beispielsweise dazu führen, dass Hacker Befehle in Eingabefelder auf einer Webseite eingeben, durch die der Inhalt von Backend-Datenbanken abgerufen werden kann. Über andere Schwachstellen könnten Hacker bösartige Links erstellen, die zu einer veränderten Version einer Webseite führen, was für Phishing oder Bereitstellen von Schadsoftware verwendet werden kann. Sämtliche dieser Sicherheitslücken gelten in der Hackerwelt als „niedrig hängende Früchte“, sind aber immer noch weit verbreitet.

„PunkSpider findet Schwachstellen, ermittelt im Hintergrund die Wahrscheinlichkeit, dass sie ausgenutzt werden können, und gibt sie dann sofort öffentlich bekannt“, sagt Caceres. „Der letzte Teil ist der Teil, für den ich manchmal etwas Ärger bekomme.“

Noch ist PunkSpider nicht öffentlich, läuft allerdings schon, um auch eine Datenbank mit Ergebnissen bei der Veröffentlichung zu haben. So konnten bereits Lücken auf bekannten Websites gefunden werden, unter anderem auf der Crowdfunding-Plattform Kickstarter.

Hier wäre es laut Caceres Hackern möglich, einen Link zu erstellen, der für Phishing oder Abbuchungen von einer Kreditkarte für ein Kickstarter-Projekt missbraucht werden kann.
Kickstarter bestätigte in einem Mail an WIRED, dass die Schwachstelle nun aufgrund dieses Hinweises behoben würde.

„Wenn ein Unternehmen wie Kickstarter dadurch veranlasst wird, seine Fehler zu beheben, ist das genau das, was wir uns als Ergebnis erhoffen“, so Hopper.

Kritik an PunkSpider

Karen Gullo, Analystin von der Eletronic Frontier Foundation, schrieb in einer Stellungnahme an WIRED, dass PunkSpider gefährliche Folgen haben könnte:

„Das Tool steckt voller guter Absichten – diese Schwachstellen führen zu vielen realen Problemen, darunter auch Ransomware. […] Aber wir raten davon ab. Bösewichte können die Schwachstellen schneller ausnutzen, als die Administratoren sie schließen können, was zu weiteren Sicherheitsverletzungen führt.“

Caceres gesteht ein, dass böswillige Hacker PunkSpider für ihre Zwecke nutzen könnten. Er argumentiert damit, dass es schon immer Scanner gab, die Schwachstellen im Internet aufspüren. PunkSpider macht die Ergebnisse nur öffentlich und soll seiner Meinung nach damit den nötigen Druck auf Webadministratoren ausüben, die Fehler zu beseitigen.

Die Rechtmäßigkeit der Checks von PunkSpider stellt jedoch Jeremiah Grossman, Webhacker und Gründer von Bit Discovery, in Frage. Seiner Meinung nach sollten die Tests, die PunkSpider auf Webseiten durchführt, niemals ohne Einverständnis des Eigentümers durchgeführt werden.

Caceres aber steht hinter dem Projekt. Er hält die Verteidigung des Internets für wichtiger und wertvoller als den Schaden, den es anrichten könnte.

„If I created a monster here, it’s because I had to try something.“

„Sollte ich ein Monster erschaffen haben, dann weil ich etwas tun musste“

Quelle: WIRED