Wie es mittlerweile bei uns Tradition ist, veröffentlichen wir zu Beginn eines jeden Jahres einen kleinen Rückblick auf das vergangene Jahr und geben eine Vorschau auf das kommende Jahr.
Rückblick auf 2015
2015 haben wir für das Projekt Internetwache.org insgesamt etwas weniger Zeit aufgewendet als in den Jahren davor. Das sieht man vor allem an der niedrigen Anzahl an veröffentlichten Artikeln (9 Blogposts), aber auch an rückläufigen Positionen im Ranking von Plattformen wie Bugcrowd oder HackerOne. Neben der steigenden und offenbar nicht-schlafenden Konkurrenz, liegt es aber daran, dass wir alle anders ausgelastet waren, in anderen Projekten aktiv sind und in unseren Berufen oder an der Universität eingebunden sind.
Wenn wir allerdings etwas auf Internetwache.org veröffentlicht haben, dann hat es sich meist um recht gründliche und tiefgreifende Ergebnisse gehandelt und wurde von einer breiteren Menge oder zumindest unseren Twitter Followern diskutiert.
Als eine Art “Ritterschlag” kann man ansehen, dass unsere Arbeit und Analyse der AXFR-Transfers der Alexa Top 1 Millionen zu einem der zwölf Alerts des US-CERT im Jahr 2015 geführt hat und auch in vielen Medienberichten Beachtung gefunden hat.
Eine ähnliche Untersuchung, welche die Analyse von nicht geschützten Git-Repositories behandelte fand allerdings weniger Beachtung, da andere Researcher kurz zuvor eine ähnliche Idee hatten - dennoch sind wir mit den Ergebnissen und unserem eigenen Wissenzuwachs sehr zufrieden.
Es gab noch einige weitere Ideen für weiterreichende Untersuchungen, aber leider fehlte zu deren Umsetzung die nötige Zeit, um diese entsprechend qualitativ hochwertig durchführen zu können. Wir hoffen allerdings, diese dieses Jahr nachreichen zu können.
Sebastian hat weitere Projekte ins Leben gerufen. Unter anderem einen weiteren Security-Blog, auf dem persönliche Sachen ausgelagert werden, die nicht unbedingt zu Internetwache.org passen: 0day.work. Zum Jahresanfang 2015 wurde zudem das Bugbounty Portal von ihm gestartet, bislang ist darauf noch nicht besonders viel Aktivität.
Tim hat ein von ihm lang angestrebtes Ziel erreicht und 2015 sein erstes Buch mit dem Titel “Hacking im Web” geschrieben in dem auch einige Fälle von Internetwache.org aufgegriffen werden. Das Buch ist in deutscher Sprache, umfasst circa 500 Seiten und erscheint im Franzis Verlag vermutlich im ersten Quartal von 2016.
Zum Abschluss des Jahres haben sich Sebastian und Tim wieder beim 32. Chaos Communication Congress (32c3) in Hamburg getroffen und wie immer hat es viel Spaß gemacht und wir haben eine Menge gelernt. Lustig war, dass Sebastian mit dem Cloudflare-Bugbounty-T-Shirt von einem der Security Mitarbeiter bei Cloudflare angesprochen wurde.
Ausblick auf 2016
In der Zukunft haben wir vor die Untersuchung von generischen Sicherheitsrisiken (wie oben angeführt) fortzusetzen und so immer wieder vor globalen Problemen im Bereich Websicherheit zu warnen. Dieses Vorgehen ermöglicht einen guten Überblick über die aktuelle Situation der Websicherheit und hilft möglicherweise einer größeren Menge an Administratoren, als zum Beispiel bestimmte, wenige Webapplikationen zu untersuchen. Nichtsdestotrotz werden wir natürlich weiterhin an Bug Bounty Programmen teilnehmen und der grundsätzlichen Idee von Internetwache.org treu bleiben.
Die Followerzahl auf unserem Twitter Account: @internetwache nährt sich langsam der magischen Grenze “1000” - aus diesem Grund planen wir in 2016 eine Community-Aktion, von der wir momentan allerdings noch nicht zu viel verraten möchten. Bleibt also gespannt :)
Seit der Gründung von Internetwache.org im Jahr 2012 war die Sicherheit von Webapplikationen unser Hauptfokus, wir wollen nun allerdings einen Schritt weitergehen. Sebastian möchte in naher Zukunft mehr über die Sicherheits von Apps lernen und wird dieses Jahr seinen Bachelor beenden. Tim möchte etwas mehr über SCADA und ICS lernen und sich Gedanken um Informationsethik im Zeitalter von Big Data und modernen Algorithmen machen.
Wir wünschen Euch viel Erfolg im Jahr 2016!
Das Team der Internetwache.org