Red Teams sorgen für Sicherheit: So arbeiten Googles interne ‚Angreifer‘ & ein mahnendes Hacking-Beispiel

Veröffentlicht am 11. Februar 2023 von Jens

Für Google stehen Sicherheit und der Schutz der Nutzerdaten an erster Stelle, das betont man seit vielen Jahren und stellt es immer wieder unter Beweis. Jetzt gibt es interessante Einblicke darin, wie man die Sicherheit bestmöglich gewährleistet und die Hürden für Angreifer immer höher setzt: Man greift sich mit einem internen Red Team immer wieder selbst an und macht Lücken ausfindig, bevor sie echte Angreifer finden können.

Es ist kaum zu verhindern, dass sich in großen Softwareprojekten Sicherheitslücken finden, die von Angreifern ausgenutzt werden können – das gilt vor allem dann, wenn Software und Schnittstellen immer weiter entwickelt werden. Google hat seit jeher hohe Standards und sichert sich durch zusätzliche Aktivitäten wie etwa den Vulnerability Rewards und diversen Bug Bounty-Programmen weiter ab. Wird eine Sicherheitslücke aufgespürt und an Google gemeldet, kann der Angreifer je nach Produkt und Schwere bis zu mehrere Zehntausend oder gar Hunderttausend Dollar erhalten.

Aber man setzt nicht nur auf externe Hilfe, sondern betreibt auch intern ganze Teams, die nichts anderes tun, als die eigenen Produkte oder Infrastruktur anzugreifen – natürlich auf Basis einiger strenger Regeln. Das sogenannte Red Team hat viele Handlungsmöglichkeiten und ist natürlich unabhängig von allen anderen Abteilungen. Man sucht nach Schwachstellen, die bei erfolgreicher Entdeckung an die jeweiligen Abteilungen und Entwickler gemeldet werden – bevor diese auch von externen Angreifern entdeckt werden.

Dennoch gibt es Grenzen und Regeln, auf die externe Angreifer nicht treffen: Bei keinem der internen Angriffe darf der Infrastruktur-Betrieb ernsthaft gefährdet werden, es dürfen keine Nutzerdaten angegriffen werden und auch DDos-Attacken sind ausgeschlossen. Dennoch gibt es genügend weitere Möglichkeiten und über die Jahre dürfte man sehr viele Schwachstellen entdeckt haben, die somit gestopft werden konnten.

Es gibt zwar keine tiefen Einblicke in die Arbeit dieses Teams, aber dennoch hat man in einem Interview im Standard einige interessante Details verraten. So konnte man etwa die Geschichte eines Hardware-Angriffs erzählen, den rein theoretisch auch externe Angreifer durchführen könnten und die lange Zeit unbemerkt geblieben sind.

In einem Fall hatte man manipulierte Lavalampen an einige Teams versendet, die als vermeintliches Geschenk des Unternehmens galten. Es handelte sich um kleine Deko-Lampen mit USB-Anschluss, die über den Computer per Strom versorgt werden. Kennt man von vielen anderen Gadgets. Doch diese Lampen waren manipuliert und über den USB-Anschluss konnte das System innerhalb von Sekunden kompromittiert werden, ohne dass die Google dies bemerkt haben.

Weiterhin musste man feststellen, dass sich selbst in einem auf Sicherheit und hoher Qualifikation spezialisierten Unternehmen wie Google immer wieder Mitarbeiter finden, die gutgläubig Passwörter und ganze Login-Daten verraten – man muss nur eine gute Geschichte erzählen. Weil sich das nicht „beheben“ lässt, gibt es Google-intern die Vorschrift, für 2FA nur Hardwaresicherheitsschlüssel zu verwenden. Lest euch einmal das ganze Interview durch, es gibt einiges mehr zu erfahren.

[Der Standard]

Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter

Teile diesen Artikel: