Research & Development: Nichts ist so beständig wie der Wandel

Panta rhei! Alles fließt! – Mit unserer Arbeit im Bereich Forschung & Entwicklung versuchen wir bei der SySS GmbH weiterhin, am Fortschritt in der IT-Sicherheit mitzuwirken und die nahe Zukunft in der Welt der Informationstechnik zu antizipieren.

Seit im Jahr 2013 unsere Forschungs- und Entwicklungsabteilung (R&D, Research & Development) ins Leben gerufen wurde und wir in unserem SySS-Newsletter Q4/2013 mit Bezug auf Heraklit darüber berichtet haben, ist schon viel Wasser Flüsse und Bäche hinuntergeflossen und die Welt hat sich weiter gedreht. Unsere Motivation ist jedoch immer noch dieselbe, nämlich die Qualität, Effizienz und Effektivität unserer mittlerweile gewachsenen Zahl von angebotenen Dienstleistungen in den unterschiedlichen Bereichen Penetrationstest, Technisches Consulting, Digitale Forensik, Red Teaming, Schulungen und Live-Hacks stetig zu verbessern und auszubauen.

In den vergangenen acht Jahren haben hierzu zahlreiche SySS-Mitarbeiter fast 200 R&D-Projekte durchgeführt. Die Dauer einzelner Projekte variierte dabei von einem einzigen Tag bis hin zu mehreren Wochen, abhängig vom entsprechenden Thema und der jeweiligen Zielsetzung. Neben dem reinen Erkenntnisgewinn, den jedes R&D-Projekt mit sich bringt – und sei es nur die Erkenntnis, das etwas auf eine bestimmte Weise nicht funktioniert – haben zahlreiche Projekte häufig neue oder verbesserte Testmethoden, oftmals in Verbindung mit neuen oder verbesserten Softwaretools, zum Ergebnis. Der Großteil unserer Eigenentwicklungen sind dabei reine In-House-Tools, die – wie der Name schon sagt – für den hausinternen Gebrauch bei der SySS GmbH bestimmt sind. Ein Beispiel für ein solches In-House-Tool ist ShCoLo, das seit vielen Jahren in Antivirus Evasion-Szenarien, etwa im Kontext von zielgerichteten Angriffen (Targeted Attacks), von uns erfolgreich eingesetzt wird und in diesem Jahr abhängig von entsprechenden Forschungsergebnissen entweder ein größeres Update erfahren oder durch ein neues Werkzeug ersetzt werden soll. Verschiedene Softwaretools rund um unser Berichtswesen, wie etwa der SySS Report Linter, sind weitere Beispiele für reine In-House-Tools, die wir aus nachvollziehbaren Gründen nicht veröffentlichen. Gelegentlich entstehen im Rahmen von Forschungs- und Entwicklungsprojekten jedoch auch Werkzeuge, die wir gerne mit der Welt teilen und auf unserer GitHub-Präsenz „SySS Research“ als Open-Source-Tools frei zur Verfügung stellen.

Neben solchen entwickelten Werkzeugen teilen wir natürlich auch sehr gerne neu gewonnene Erkenntnisse, beispielsweise in Form von Fachartikeln, die unter anderem in unserer SySS Pentest Library zu finden sind, oder in Form von Fachvorträgen auf IT-Sicherheitskonferenzen, von denen zahlreiche auch als Videoaufzeichnungen online verfügbar und in unserer YouTube Playlist „SySS Talks“ aufgeführt sind. Ganz aktuell haben wir heute beispielsweise den Vortrag mit dem Titel Penetration Testing Communication Systems Nowadays unseres Mitarbeiters Moritz Abrell von der letztjährigen IT-Sicherheitskonferenz Hacktivity veröffentlicht.

Für die Präsentation von Ergebnissen bestimmter Forschungs- und Entwicklungsprojekte ist unser YouTube-Kanal SySS Pentest TV in den vergangenen Jahren immer wichtiger geworden – mit steigender Tendenz. Zur besseren Veranschaulichung bestimmter Schwachstellen, die wir im Rahmen unseres Responsible Disclosure-Programms veröffentlichen, erstellen und veröffentlichen wir gelegentlich sogenannte Proof of Concept-Videos, die ein besseres Verständnis für Sicherheitsprobleme schaffen, als dies die rein textuelle Beschreibung unserer SySS Security Advisories zu tun vermag. Ein aktuelles Beispiel ist unser Proof of Concept-Video mit dem Titel Zoom Unintended Screen Sharing Issue, in dem wir ein Sicherheitsproblem (SYSS-2020-044, CVE-2021-28133) in der Screen Sharing-Funktion der Videokonferenzsoftware Zoom demonstrieren, die von unserem IT-Sicherheitsexperten Michael Strametz Ende letzten Jahres gefunden wurde. Des Weiteren lässt sich in kurzen Videos die Nützlichkeit bestimmter Softwaretools durch konkrete Anwendungsfälle einfacher vermitteln als in geschriebenen Anleitungen, weshalb wir bisweilen auch sogenannte Tool Tip Videos veröffentlichen.

Und auch 2021 setzt die SySS GmbH den Trend der letzten Jahre fort und investiert noch mehr in Forschung und Entwicklung. Der Fokus liegt dabei in diesem Jahr unter anderem auf den Themen Fuzzing, Next-Generation Antivirus Evasion, statische Codeanalyse und Sicherheit von UEFI.

Auch in den kommenden Jahren ist unser erklärtes Ziel, weiterhin am Puls der Zeit und für die Zukunft im Bereich IT-Sicherheit gut vorbereitet zu sein. An guten Ideen für Forschungs- und Entwicklungsprojekte mangelt es nicht und so streben wir weiter danach, den besten dieser Ideen nachzugehen, um unsere Kompetenzen und damit verbunden unsere Dienstleistungen zu verbessern. Denn wie schon Heraklit wusste, ist die Welt in stetigem Wandel und „wer in dieselben Flüsse hinabsteigt, dem strömt stets anderes Wasser zu.“