Projekt gestartet
Wir entwickeln einen TYPO3-Vulnerability Scanner
30.06.2021 - Nino Müns
Ein spannendes neues Projekt startet! Ausnahmsweise mal nicht für einen Kunden, sondern für uns selbst. Wir entwickeln ein eigenes Produkt im Rahmen eine Förderprojektes: einen TYPO3 Vulnerability Scanner.
Was ist das?
Wir möchten ein Tool schaffen, mit dem Websitebetreiber*innen schnell und ohne technisches Knowhow herausfinden können, welche TYPO3-Version sie genau haben und ob diese Sicherheitslücken enthält. Dieses Tool möchten wir als Webapplikation zur Verfügung stellen.
Unsere Motivation
Täglichen werden nach Zahlen des Google Transparency Report bis zu 3.000 Webseiten weltweit manipuliert. Infizierte und manipulierte Webseiten haben erheblichen Einfluss auf die Reputation der Webseitenbetreiber. Dabei werden am häufigsten Webseiten mit Content Management-Systemen gehackt, da weltweit die meisten Webseiten auf einem CMS basieren. Studien des IT-Sicherheitsanbieters Sucuri fanden bereits 2020 heraus, dass 56 % aller CMS-basierten Webseiten zum Zeitpunkt der Infektion veraltet waren. Dabei zeigt die Studie zudem, dass besonders häufig solche Systeme zum Zeitpunkt der Infektion veraltet sind, deren Update-Aufwand besonders hoch ist. Beispielsweise waren nur 49 % der WordPress-Installationen zum Infektionszeitpunkt veraltet, wohingegen bei TYPO3 100 % der Installationen zum Zeitpunkt des Hacks veraltet waren. Dies liegt daran, dass es bei WordPress einen automatischen Update-Modus gibt. Bei TYPO3 gibt es einen derartigen Modus aufgrund der Komplexität des Systems nicht und wird es auch nicht in absehbarer Zeit geben.
TYPO3-Websitebetreiber müssen also Ihre Webseiten regelmäßig aktualisieren. Oft haben die Kunden aber keinen Überblick über den Sicherheitsstatus Ihrer Webseite und können diesen auch nicht unabhängig überprüfen. Mit unserem TYPO3 Vulnerability Scanner möchten wir ein entsprechendes Werkzeug schaffen, um die Aktualität der eigenen TYPO3-Instanzen zu überwachen.
Was unterscheidet uns von anderen Systemen auf dem Markt?
Viele andere "Sicherheits-Tools" führen verschiedene Tests aus, die sich teilweise an Branchenstandards orientieren, um dem Nutzern auf einer Skala anzuzeigen, ob ihre Webseite sicher ist. Dabei gehen die Tools nicht auf das CMS-System TYPO3 ein. Sie zeigen daher nur allgemeintypische Sicherheitslücken an. Unser Tool führt wird keine Tests durchführen, sondern es analysiert auf Basis des öffentlich verfügbaren Quellcodes, um welche TYPO3-Version es sich handelt und gibt dann aus einer Schwachstellendatenbank die konkret bekannten Schwachstellen aus. Das bedeutet, der/die Nutzer*in erhält handfeste Hinweise, die zu ihrem/seinem System passen. Wir verfolgen dabei ausdrücklich nicht die Zielstellung ein Penetration-Testing-Tool zu schaffen.
Wie ist der Zeitplan für den TYPO3-Vulnerability Scanner?
Das Förderprojekt läuft ab nun bis einschließlich 31. Juli 2022. In dieser Zeit werden wir ein entsprechendes Versionserkennungskonzept erarbeiten, ein Design erarbeiten lassen, ein Backend programmieren, ein Frontend umsetzen sowie die Plattform ausrollen und dann in die Vermarktung starten. Das Tool wird Mitte März 2022 online gehen.