Diese Open-Source-Tools adressieren spezifische Security-Probleme – mit minimalem Footprint.
Foto: N Universe | shutterstock.com
Cybersicherheitsexperten verlassen sich in diversen Bereichen auf Open-Source-Lösungen – nicht zuletzt weil diese im Regelfall von einer lebendigen und nutzwertigen Community gestützt werden. Aber auch weil es inzwischen Hunderte qualitativ hochwertiger, quelloffener Optionen gibt, um Breaches und Datenlecks auf allen Ebenen des Unternehmens-Stacks zu verhindern.
Falls Sie nun gedanklich bereits die xz-utils-Backdoor-Keule bereitlegen: Ja, es kann sein, dass es in der Zukunft zu weiteren Vorfällen dieser Art kommt. Allerdings darf bezweifelt werden, dass eine ähnliche Schwachstelle in einem proprietären Stack ebenso schnell entdeckt worden wäre. Schließlich ermöglicht Open Source erst, dass unabhängige Sicherheitsexperten Probleme wie diesen zeitnah auf die Spur kommen können. Um es kurz zu machen: Die Vorteile von Open Source Tools überwiegen – auch im Bereich der Cybersicherheit – die möglichen Gefahren.
Auf die folgenden quelloffenen Security-Tools sollten CSOs, CISOs und ihre Teams nicht verzichten. Beispielsweise, um:
-
Schwachstellen zu identifizieren,
-
Protokolle zu analysieren,
-
forensische Untersuchungen anzustoßen sowie
-
Support für Threat Intelligence und Verschlüsselung sicherzustellen.
1. ZAP für Vulnerability Scans
Bei Zed Attack Proxy – kurz ZAP – handelt es sich um ein kostenloses Open-Source-Werkzeug für Penetrationstests. Das Scanner-Tool ist darauf konzipiert, potenzielle Schwachstellen und Sicherheitslücken in Webanwendungen aufzuspüren und stützt sich dazu auf umfangreiches Community-Wissen.
Dabei sitzt ZAP zwischen Browser und der zu testenden Web-App und ist in der Lage, sämtliche Packets zu modifizieren, während es mögliche Angriffsvektoren durchläuft. Im Grunde handelt es sich um einen Proxy mit erweiterten Fähigkeiten, um nach Schwachstellen zu suchen. Dazu stellt ZAP eine Sammlung vordefinierter Angriffsmethoden zur Verfügung. Um auf spezifische Risiken zu testen, kann das quelloffene Tool auch mit benutzerdefinierten Payloads und Regeln ausgestattet werden.
ZAP wird aktiv weiterentwickelt und kann mit Blick auf kommende Features eine ambitionierte Roadmap vorweisen. Optimiertes Scripting ist dort ebenso vertreten wie ein breiterer Support für Protokolle wie gRPC. Das Tool steht in Form diverser Installer für alle gängigen Betriebssysteme zum Download zur Verfügung.
2. Wireshark für Paketanalysen
Ein Auge auf die Kommunikationslinien im Netzwerk zu werfen, ist eine der zielführendsten Methoden, um Datenlecks aufzuspüren. Für diese Zwecke ist Wireshark ein ebenso bewährtes wie hochwertiges Tool: Es analysiert die Bits, die sich durch – kabelgebundene oder auch kabellose – Netzwerke bewegen und gleicht diese mit einem Regelwerk ab, das wiederum auf den Informationen Hunderter verschiedener Networking-Quellen fußt.
Wenn Sie sich für eine bestimmte Art von Daten-Traffic interessieren, die von einem spezifischen Softwarepaket ausgeht, ist es zudem möglich, dafür entsprechende Filter zu definieren. Auch dieses Open-Source-Tool läuft auf den meisten gängigen Betriebssystemen – inklusive aller Unix-Variationen.
Die Wireshark-Community ist in den letzten Jahren weiter gewachsen und engagiert sich insbesondere in Sachen Dokumentation und Schulungsmaterialien, wie ein Blick auf die offizielle Webseite unterstreicht.
3. Bloodhound Community Edition für Incident Response
Tritt ein Security Breach auf, nutzen Security-Profis Forensik-Tools, um die Angriffswege der Angreifer nachzuvollziehen. Das geht beispielsweise mit Bloodhound Community Edition, der Open-Source-Version des bekannten Enterprise-Tools (die vom selben Team gepflegt wird).
Das Open-Source-Werkzeug sorgt für Transparenz im Beziehungsgeflecht zwischen Active-Directory- und Azure-Umgebungen und ist so in der Lage, auch hochkomplexe “Attack Paths” zu identifizieren und die in diesem Rahmen gefundenen Sicherheitslücken zu schließen. Das Tool ist sowohl für Red- als auch für Blue Teams geeignet.
4. Autopsy für Cyberforensik
Bei Autopsy handelt es sich um eine quelloffene IT-Forensik-Plattform, um Festplatten(-Images) gründlich zu untersuchen. Dabei lässt sich die Software über zahlreiche Module auch erweitern, um spezifische Datentypen, die mit bestimmten Kompromittierungsarten in Verbindung stehen, zu identifizieren.
Beispielsweise untersucht das “Extension Mismatch Module” die interne Struktur von Dateien und gleicht diese mit ihrer Benennung ab. Entstehen hierbei Diskrepanzen, ist das ein erster Hinweis darauf, dass Angreifer den Traffic nutzen, um etwas zu verbergen. Darüber hinaus bietet Autopsy unter anderem auch Erweiterungsmodule für Schulungen und Support.
5. MISP für Threat Intelligence
Geht es um breit angelegte, kollektive Bemühungen, können Open-Source-Tools und -Plattformen glänzen. Die Malware Information Sharing Platform – kurz MISP – ist dafür das beste Beispiel. Die Plattform kommt ins Spiel, wenn es darum geht, die Daten von IT-Forensik-Tools zu analysieren: Sie sammelt Informationen über potenzielle Angriffsvektoren in einer umfassenden Datenbank und bietet die Möglichkeit, diese Informationen über eine Suchmaschine mit eigenen Daten zu korrelieren. Dabei unterstützt die Lösung ein flexibles, objektbasiertes Datenmodell, das verschiedene Kompromittierungsindikatoren (Indicators of Compromise, IoC) visualisiert und sowohl über technische als auch nicht-technische Details Auskunft gibt. Ein Indexierungsalgorithmus der Support für “Fuzzy Matching” bietet, deckt mögliche Übereinstimmungen automatisch auf.
MISP wurde gezielt für Sicherheitsteams entwickelt, um über geteilte Timelines und Event-Graphen zusammenzuarbeiten. Dieses quelloffene Projekt wird von der Europäischen Union unterstützt und erfreut sich diverser, umfassender Communities. Die webbasierten, größtenteils in PHP geschriebenen Tools von MISP stehen auch in Quellcode-Form zum Download zur Verfügung.
6. Let’s Encrypt für Verschlüsselung
Verschlüsselungsalgorithmen schaffen die Basis für Security, Datenschutz und Authentifizierung und sind in einer ganzen Reihe von quelloffenen Bibliotheken verfügbar. Zudem stützen sich auch viele Open-Source-Tools auf diese Algorithmen.
Zum Beispiel die Skript-Sammlung Let’s Encrypt. Sie ist darauf ausgelegt, Systemadministratoren das Leben leichter zu machen, indem sie Webserver mit Encryption-Fähigkeiten ausstattet. Dazu müssen die Admins nur einige Fragen beantworten – die entsprechenden Zertifikate für die Benutzer werden automatisiert generiert und gewährleisten, dass alle Daten die in diesem Rahmen übertragen werden, geschützt sind.
7. GNU Privacy Guard für Verschlüsselung
Eine vollständige Implementierung des PGP-Standards zum Zwecke des Kommunikationsschutzes bietet GNU Privacy Guard.
Die Zielsetzung besteht dabei darin, die Endbenutzer zu befähigen, ihre E-Mail-Nachrichten zu verschlüsseln und zu signieren. Dabei werden sowohl Secure-Shell- als auch S/MIME-Interaktionen unterstützt.
8. Yara für Pattern Matching
Wenn Malware-Samples identifiziert und klassifiziert werden sollen, verlassen sich viele Schadsoftwarespezialisten auf das Open-Source-Projekt Yara.
Das quelloffene Tool kann jedoch noch mehr und ist auch in Sachen Incident Response und IT-Forensik hilfreich: Es sucht auf Grundlage vorkonfigurierter und benutzerdefinierter Regeln nach identischen Mustern in Dateien oder auch laufenden Prozessen. Zusätzlich können auch Signaturinformationen von Viren über das quelloffene Tool ClamAV sowie Regelsätze aus dem von der Community gepflegten YaraRules-Repository einfließen. Wichtig ist an dieser Stelle, sich der Grenzen der signaturbasierten Erkennung bewusst zu sein – und sich nicht ausschließlich auf dieses Open-Source-Werkzeug zu verlassen.
Yara kann entweder über die Kommandozeile ausgeführt werden oder über eine Python-Bibliothek in entsprechende Skripte integriert werden.
9. OSquery für Endpunktabfragen
Einfach per SQL-Abfrage nach bösartigen Prozessen, Plugins oder auch Sicherheitslücken auf Windows-, Mac- und Linux-Endpunkten zu suchen – das ist die Idee hinter OSquery, einem quelloffenen Tool, das von Softwareingenieuren bei Facebook entwickelt wurde.
Die Software sammelt Betriebssysteminformationen wie laufende Prozesse, geladene Kernelmodule, offene Netzwerkverbindungen, Browser-Plugins oder Datei-Hashes in einer relationalen Datenbank. Diese können Sie mit einfachen SQL Queries abfragen – ganz ohne komplexen Python-Code. Damit löst OSquery ein bedeutendes Problem auf unkomplizierte und elegante Weise.
Zu den Komponenten des Tools gehören die interaktive OSqueryi-Shell, die mit PowerShell genutzt werden kann sowie der Daemon OSqueryd, der für (Low-Level) Host Monitoring zum Einsatz kommt, und es ermöglicht, Datenbankabfragen zu planen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
