Bug Bounty: Hacker finden kritische Lücken in der IT von Waadt

14. April 2022, 12:38
image
Daniel Jaquet vom Kanton Waadt (links) und Lukas Heppler von Bug Bounty Switzerland präsentierten die Befunde des Bug-Bounty-Programms an den Swiss Cyber Security Days (SCSD) in Fribourg.

Über 30 Schwachstellen spürten Hacker im von Angriffen geplagten Kanton auf. Nach 4 Tagen war das Preisgeld des Bug-Bounty-Programms bereits vergeben.

In den IT-Systemen von Waadt haben freundliche Hacker mehrere schwerwiegende Lücken gefunden. Mit einer hätten Kriminelle die Kontrolle über einen Server des Kantons übernehmen können. Dies sagt Daniel Jaquet, der im Kanton für die Informations- und Cybersicherheit zuständig ist. Details zu den Lücken, die im Rahmen eines Bug-Bounty-Programms aufgespürt wurden, will er aus Sicherheitsgründen nicht Preis geben.
Waadt hat schlechte Erfahrungen mit Cyber-Angriffen gemacht: In den letzten 12 Monaten wurden mit Rolle, Montreux und Yverdon-les-Bains gleich drei Gemeinden erfolgreich von Ransomware-Banden gehackt. Der Vorfall in Rolle stellte sich als gravierend heraus: Gestohlene AHV- und Steuernummern von Einwohnerinnen und Einwohnern wurden im Darknet veröffentlicht, die Gemeinde spielte den Vorfall vorerst herunter.
Das Bug-Bounty-Programm wurde aber nicht wegen der erfolgreichen Hacks aufgegleist, wie Jaquet unterstreicht. Der Kanton ist für die Systeme der Städte- und Gemeindeverwaltung nicht zuständig. Das Programm war Teil des jährlichen Prüfplans der Informatik von Waadt, um das Schutzniveau der Dynamik im Cyberraum anzupassen. "Die verschiedenen Angriffe im Jahr 2021 waren für uns zusätzliche Möglichkeiten zur Sensibilisierung, aber diese Bug-Bounty-Initiative war keine Reaktion auf diese Angriffe", so Jaquet.

"All in" im Kanton Waadt

Im Rahmen des Bug-Bounty-Programms wurde die gesamte Informatik von Waadt unter die Lupe genommen. Gefunden wurden über 30 Schwachstellen, einige davon kritisch. Zur Höhe der Belohnungen lässt sich der Kanton nicht in die Karten blicken, das Programm war als "privat" ausgelegt. Bereits nach 4 Tagen waren die Belohnungen indes vergeben, während die Dauer des Projekts auf 3 Wochen angelegt werden sollte.
Dies geht aus einer Präsentation hervor, die Daniel Jaquet zusammen mit Lukas Heppler von Bug Bounty Switzerland an den Swiss Cyber Security Days hielt. Hepplers Firma führte das Programm für den Kanton Waadt durch. Er sagte: "Die gängige Empfehlung ist es, zuerst 2 bis 3 Systeme auswählen und eine Hand voll ethischer Hacker auf diese los lassen. Das ist ein gut kontrollierbares Setting." In Waadt ging man indes "All in", wie es in der Präsentation weiter hiess: Die gesamte IT wurde von den White-Hat-Hackern, die bei Bug Bounty Switzerland registriert sind, unter die Lupe genommen. Das brachte eine Menge Herausforderungen mit sich, wie Jaquet sagte.
Erstmal musste die Behördenleitung für den Ansatz gewonnen werden, zudem war nicht sicher, was die unbekannten Bug-Jägerinnen und -Jäger auf welche Weise melden würden. Vorerst habe man das IT-Operationsteam exakt über die Prozesse aufgeklärt und ein Eskalationsprogramm definiert, falls etwas schiefgelaufen wäre, so Jaquet an der Präsentation.
Auch seitens der Bug-Bounty-Firma stellten sich Aufgaben: Man musste die externen IT-Dienstleister von Waadt an Bord holen. Es musste zudem vermieden werden, dass die gesamten Belohnungen für wenig sinnvolle Erkenntnisse verbraucht würden oder ein Legacy-System mit ohnehin schlechtem Ruf das Geld auf sich ziehe, so Heppler. Beides würde den Erfolg eines Bug-Bounty-Programms untergraben.

Wissen um exponierte IT-Systeme

Der Kanton zieht nun aber ein positives Fazit: Die IT werde ständig von aussen gescannt, man sei gespannt gewesen, was andere Leute sehen würden, so Jaquet. Indem man die Pentest-Routine unterbrochen habe, habe man neue Einblicke erhalten: Etwa, was auf Grundlage öffentlicher Informationen und ohne internen Account und Insiderwissen möglich sei. Dank des Programms wisse man nun, welche IT-Punkte Angriffsfläche bieten würden, heisst es in den Unterlagen der Präsentation. Zudem konnte das Informatik-Team Waadt demnach seine Prozesse anpassen.
Man sei nun froh, mehr Lücken zu kennen und sein Wissen über Angriffsvektoren und Abwehrmassnahmen verbessert zu haben, so das Fazit von Jaquet. Das Bug-Bounty-Programm hat sich für den Kanton nach eigener Einschätzung also bewährt. Ob dieses auch für andere Kantonen geeignet sei, hänge von den dortigen Sicherheitsmassnahmen ab, sagt Jaquet: "Der Ansatz ist aber eine gute Ergänzung zu den bereits vorhandenen Sicherheitsmassnahmen."
Der Autor dieses Artikels war an den Swiss Cyber Security Days (SCSD) in Fribourg, verfolgte aber die Präsentation von Lukas Heppler und Daniel Jaquet nicht. Diese haben ihre Folien und Notizen zur Verfügung gestellt. Jaquet hat zudem einige Fragen beantwortet. Update 28. April: Der Artikle wurde mit einem Satz ergänzt, der explizit erklärt, dass der Kanton nicht für die Systeme von Städte- und Gemeindeverwaltung zuständig ist.

Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022