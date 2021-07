Nach sechs Jahren Pause kehrt das berühmt-berüchtigte Tool in einer deutlich mächtigeren Version zurück. Das Projekt wird auch in der Security-Gemeinde kontrovers diskutiert

Im August soll Punkspider wieder den Betrieb aufnehmen. Foto: DER STANDARD/Pichler

Es ist ein Projekt, mit dem sich Alejandro Caceres und Jason Hopper wohl nicht überall Freunde machen werden. Die beiden Entwickler werden auf der Sicherheitskonferenz Defcon 29, die von 5. bis 8. August in Las Vegas abgehalten wird, das Comeback eines alten Bekannten einläuten.

Nach mehreren Jahren Pause soll dann Punkspider wieder in Betrieb gehen. Es handelt sich um eine Suchmaschine, die das Internet konstant auf Webseiten scannt, die von bekannten Sicherheitslücken betroffen sind. Das Suchtool wird öffentlich zugänglich sein, könnte also auch ein beliebtes Tool für Cyberkriminelle werden, die nach Möglichkeiten für Datenleaks oder andere Angriffe suchen.

Frontaler Ansatz

Schon wenn Punkspider wieder in Betrieb geht, soll der Dienst einen Katalog von hunderttausenden Lücken bieten, sagen die Entwickler gegenüber "Wired". Sie sind sich auch dessen bewusst, dass ihre Suchmaschine dazu beitragen kann, dass Seiten angegriffen werden. Ihrer Ansicht nach heiligt das Mittel allerdings den Zweck: nämlich auf diese Weise die Betreiber rund um die Welt zur Verbesserung ihrer Sicherheit zu zwingen.

Regelmäßig zeigen Einbrüche in Onlinesysteme auf, was passiert, wenn Sicherheitsaspekte vernachlässigt werden. Immer wieder "verlieren" Onlineshops Kundendaten oder Luftlinien Informationen über Passagieren. Erst vor wenigen Monaten konnten Angreifer aufgrund mangelhafter Absicherung gleich 70 Gigabyte an Daten über Nutzer des Rechtsaußen-Netzwerks Gab abzweigen. Auch beim unter großer Fanfare der amerikanischen Rechten gestarteten Parler wurde gehackt und der Datenbestand in weiterer Folge nach Personen durchforstet, die sich am 6. Jänner am Sturm auf das Kapitol beteiligt hatten.

Um Lücken zu finden, nimmt Punkspider nicht nur einfache Scans vor, sondern erprobt auch sieben Arten von Angriffen, beispielsweise SQL-Injections, eine Angriffsmethode, über die sich durch die Eingabe bestimmter Daten weitere Informationen aus der Datenbank einer Seite gewinnen lassen, wenn diese nicht ordentlich abgesichert ist.

Kontroverses Projekt

Die Suchmaschine wird nach Schlüsselwörtern in der URL der Seiten suchen lassen und die Ergebnisse nach Art und Schwere der gefundenen Security-Probleme sortieren können. Zusätzlich bieten Caceres und Hopper auch eine Browsererweiterung für Chrome an, die automatisch jede vom Nutzer aufgerufene Seite auf Schwachstellen abklopft.

Das Projekt bekommt allerdings auch innerhalb der Sicherheitscommunity keine ungeteilte Zustimmung, und auch Verfechter digitaler Bürgerrechte betrachten es skeptisch. Die Electronic Frontier Foundation warnt davor, dass Angreifer auf frisch gefundene Lücken meist schneller reagieren können als die Seitenadministratoren. Cajeres hält dem entgegen, dass es solche Vulnerability-Scanner schon längst gibt und der essenzielle Unterschied nur darin liege, dass Punkspider Ergebnisse öffentlich bereitstellt. "Du weißt, dass deine Kunden es sehen und deine Investoren es sehen, also wirst du dich beeilen, das Problem zu beheben", so sein Zugang.

Neustart mit mehr Möglichkeiten

Die erste Version von Punkspider wurde von Caceres 2013 präsentiert. Damals ließ er die Suchmaschine etwa einmal pro Jahr laufen, wobei ein Scan fast eine Woche dauerte. Die Betriebskosten wuchsen ihm jedoch über den Kopf, und das Projekt schlief 2015 wieder ein. Vor kurzem wurde seine Sicherheitsfirma Hyperion Gray jedoch von einem größeren Start-up, QOMPLX, geschluckt. Dieses ist bereit, die Ressourcen für den Neustart einer verbesserten Version von Punkspider bereitzustellen.

Diesmal läuft sie über verteilte Cloudinfrastruktur und kann hunderte Millionen Seiten täglich prüfen. Caceres erhielt jedoch die Auflage, einen Mechanismus zu schaffen, anhand dessen Webseitenbetreiber erkennen können, wenn Punkspider Tests durchgeführt hat. Über eine Opt-out-Funktion wird man den eigenen Webauftritt von Suchläufen ausnehmen können. Er selbst ist von dieser Möglichkeit nicht begeistert, akzeptiert sie aber als Notwendigkeit: "Ich finde es nicht gut, wenn Leute (…) einfach den Kopf in den Sand stecken können."

"Sollte ich ein Monster erschaffen haben, dann weil ich etwas tun musste"

Wenngleich der Dienst noch nicht öffentlich aufrufbar ist, läuft Punkspider bereits, auch um eine Ergebnisdatenbank für den Start zu haben. Gegenüber "Wired" zeigte man, dass man bereits Probleme auf bekannteren Webseiten aufspüren konnte. Gefunden wurden etwa sogenannte Cross-Site-Scripting-Lücken auf der Crowdfundingplattform Kickstarter und dem Vergleichsportal Lendingtree. Diese könnten potenziell Malware-Angriffe oder das automatische Auslösen von Kreditkartenzahlungen über manipulierte Links ermöglichen.

Beide Portale erklärten nach Hinweis, dass man an der Untersuchung und Behebung der gemeldeten Schwachstellen arbeite, was Cajeres als Bestätigung seiner Mission sieht.

Die Zukunft seiner Suchmaschine steht dennoch auf wackeligen Beinen. Es ist unklar, ob das massenhafte austesten von Seiten auf Sicherheitslücken nebst öffentlicher Bereitstellung der Funde überhaupt legal ist. Die Meinungen zur Legalität wie auch zur Ethik des Vorgehens gehen auseinander. Caceres ist sich der kontroversen Natur des Projekts bewusst, will das Risiko aber eingehen, da er es für notwendig hält. "Sollte ich hier ein Monster geschaffen haben", so der Security-Experte, "dann weil ich einfach etwas tun musste." (gpi, 28.7.2021)