Risiken und ihre Akzeptanz Marc Ruef | 13.05.2013 Unser Job ist es, Risiken aufzuzeigen und bisweilen sie zu beweisen. Zu diesem Zweck identifizieren wir mögliche Angriffspunkte, setzen diese in Relation zu einem Angriffsszenario und bewerten dieses in Bezug auf Aufwand und Möglichkeiten. Typischerweise weisen wir das Risiko anhand einer Skala mit den Werten Low, Medium, High und Emergency aus (siehe auch (http://www.scip.ch/?labs.20090814)). Wenn wir checklistenbasierte Prüfungen durchführen, wird zusätzlich die Einstufung Passed verwendet. Diese kommt immer dann zum Einsatz, wenn ein Angriffsvektor als nicht gegeben erachtet wird. Zum Beispiel suchen wir in Webapplikationen nach Cross Site Scripting-Schwachstellen. Bleiben diese aus, wird für diese Angriffstechnik ein Passed vergeben. Das ist der sicherheitstechnische Idealzustand. Im Rahmen unserer Prüfungen werden oftmals Schwachstellen gesucht, die der Laie gerne als "trivial" wahrnimmt. Zum Beispiel, ob ein Zielsystem mittels ICMP-Anfragen erreichbar ist. Oder ob sich die Entry-URL einer Webapplikation im Index gängiger Suchmaschinen findet. Schwachstellen dieser Art werden meist mit dem Risiko Low ausgewiesen. Sie stellen keine direkten Gefahren dar, können jedoch in Kombination mit weiterführenden Auswertungs- und Angriffstechniken eine erfolgreiche Attacke begünstigen. Mancher Kunde besteht darauf, dass diese Schwachstellen auf ein Passed heruntergestuft werden: Entweder weil das Risiko verschwindend gering sei - Oder weil man dieses zu vernachlässigende Risiko akzeptieren will. Selbstverständlich kann ein Kunde eine Umstufung von Findings durchführen. Dies hat aber nur in den wenigsten Fällen direkten Einfluss auf unsere Einstufung. Nur weil ein Risiko vermeintlich gering ausfällt, ist es nicht gänzlich eliminiert. Und nur weil ein Risiko durch den Kunden akzeptiert wird, ist es auch nicht eliminiert. Aus diesem Grund bleiben derlei Risiken - und auch solche eines anderen Schweregrads - in der ausgewiesenen Form bestehen. Es ist am Kunden, eine interne Umstufung unserer Risikodeklaration vorzunehmen. Ob Risiken angegangen oder akzeptiert werden, hat keinen Einfluss darauf, ob sie zum Zeitpunkt des Tests gegeben waren oder nicht. Ein wichtiges Qualitätsmerkmal unserer Arbeit ist, dass wir mit den Kunden zusammenarbeiten. Will ein Kunde dediziert Risiken akzeptieren und dies in unserem Report explizit so dokumentiert haben, kann er uns entsprechendes Feedback liefern. Sodann bringen wir den entsprechenden Vermerkt unter oder verschieben die betroffenen Findings in ein dediziertes Kapitel schon behandelter Risiken.