Dienstleistungen: Reverse Engineering
Ziel
Erkennen und Verstehen der Funktionsweise eines geschlossenen und komplexen Produkts zur Identifikation potentieller und existenter Schwachstellen in eben diesem.
Ausgangslage
Der Kunde stellt uns ein Produkt sowie nach Möglichkeiten jegliche ihm zur Verfügung stehenden Informationen zur Verfügung. Dazu gehören beispielsweise Handbücher, Whitepaper und Konzepte.
Vorgehen
- Analyse: Das Produkt wird auf sein übliches und unübliches Verhalten hin untersucht.
- Reversing: Durch erweiterte Mechanismen (z.B. API Call Interception, Deadlisting) wird die technische Funktionsweise des Produkts determiniert.
- Auditing: Die ausgemachten Mechanismen und Prozesse werden bezüglich ihrer Sicherheit untersucht, um Schwächen entdecken und dokumentieren zu können.
Resultat
Der Kunde erhält ein Dokument, welches die Vorgehensweise des Reverse Engineerings aufzeigt. Dabei wird die Grundstruktur des Produkts dokumentiert. Die etwaigen Mängel werden zusätzlich in tabellarischer Form, jeweils mit spezifischen Bewertungen, bereitgestellt.
Vor-/Nachteile
Die Funktionsweise proprietärer und komplexer Produkte bleibt in der Regel den Käufern und Nutzern verborgen. Manifestierte Risiken können nicht, nicht effizient oder erst viel zu spät ausgemacht werden. Ein Reversing hat die grösste Mächtigkeit, da direkt die unmittelbare Funktionsweise eines Produkts untersucht wird. Ein umfassendes Reversing ist in der Regel mit verhältnismässig viel Aufwand verbunden und daher nur durch Fachspezialisten durchführbar.
Beispielreferenz
Reverse Engineering iPhone: Ein nationales Versicherungsunternehmen wollte die Produkte von Apple breitflächig als Alternative zu Blackberry unterstützen. Zur konkreten Abklärung der technischen und organisatorischen Risiken der Einbindung von iPhone-Geräten wurde ein umfassendes technisches Reverse Engineering dieser angestrebt. Schwachstellen im Betriebssystem und die Möglichkeiten der Infektion mit einem individuell angefertigten Trojanischen Pferd wurden erfolgreich umgesetzt und damit konzeptionelle Schwächen des Produkts den Entscheidungsträgern illustriert.
