Blog

INVAIDER. IT Security out of the box

Grafik mit Text "INVAIDER. Evolutionary AI-driven Pentesting in a box."

Auf der ständigen Suche nach intelligenten Antworten auf die drängenden Security-Fragen unserer Zeit sind wir bei Micromata es gewohnt, über den üblichen Diskurs hinauszudenken und im echten Wortsinn kreativ zu werden. Dabei folgen wir dem Anspruch, für unsere Kunden Lösungen zu entwickeln, die nicht nur für den Moment passend sind, sondern sie für die Zukunft technologisch exzellent aufstellen.

Eine solche Lösung ist INVAIDER. Als KI-getriebener Service nutzt INVAIDER state-of-the-art-Technologien, um Systeme automatisiert auf Schwachstellen zu testen. Wie ein Pentester aus Fleisch und Blut penetriert er das zu testende System mit allen erdenklichen Cyberangriffen, um uns anschließend sagen zu können, wo potenzielle Sicherheitslücken bestehen und wie wir die wirksam schließen können.

Im operativen Software-Betrieb ist INVAIDER damit ein echter Game Changer, weil er uns ökonomisch entlastet und technisch unterstützt, indem er die eigentlichen Pentester in ihrer operativen Arbeit von redundaten Fleißarbeiten befreit. Seine Vorteile sind eindeutig:

  • Manpower: Klassische Pentests erfordern Manpower. In Zeiten mangelnder Fachkräfte, hohem Workload und dünnen Personaldecken ist das eine echte Herausforderung. INVAIDER wirkt hier substanziell entlastend, wie mindestens ein weiteres kompetentes Teammitglied.
  • Kosten: Manpower verursacht Kosten. Wer sparen will oder muss, sollte dies unter keinen Umständen bei der IT Security tun – es könnte ihn teuer zu stehen kommen. Mit der Erfindung von INVAIDER wollen wir in Sachen Kosten für Entspannung sorgen und gleichzeitig beste IT Security sicherstellen.
  • Qualität: INVAIDER lernt. Er ist darum stets auf dem Stand des integrierten LLMs, das permanent aus den Scan-Ergebnissen der Pentester lernt.
Porträtfoto von Sergej Michel

Sergej Michel

KI & IT-Security

So funktioniert INVAIDER

Zentraler USP bei INVAIDER ist der Einsatz Künstlicher Intelligenz (KI) zur Steuerung der Hacking-Tools, die traditionell von einem Menschen ausgeführt werden würden. Das System besteht aus drei Hauptkomponenten:

  1. Headless Kali-VM: Virtuelle Maschine, die Kali Linux ausführt und die Grundlage für die Sicherheitsprüfungen bietet.
  2. User Interface: Dient der Interaktion mit den Nutzenden. Es kann KI-basierte Scans starten und die Ergebnisse der Tests anzeigen.
  3. Backend: Steuert die Kali-VM mithilfe von Language Learning Modellen (LLM) und ist für die Umsetzung der Scan-Anfragen verantwortlich.
Organigramm zur Funktionsweise von INVAIDER

Funktionsweise eines KI-Scans

Es beginnt mit der Definition eines Prompts, also einer textlichen Aufforderung, die den gewünschten Scan beschreibt. Zum Beispiel könnte ein Prompt den Scan einer bestimmten Webanwendung anfordern, mit der Fragestellung, welches Kommando in der Kali-VM auszuführen ist.

  • Beispiel: „Führe einen Webscan der Anwendung https://www.my-company.de durch. Welches Kommando soll ich in der Kali-VM ausführen?“
  • Das LLM antwortet mit dem spezifischen Kommandobefehl: „Whatweb https://www.my-company.de“ .

Sämtliche Ergebnisse ausgeführter Scans werden im System gespeichert. Sie bilden die Wissensbasis für alle nachfolgenden Aktionen. Auf ihrer Grundlage wird der nächste Befehl ermittelt und ebenfalls auf der Kali-VM ausgeführt.

So trainiert INVAIDER sich selbst. Der iterative Prozess nutzt kontinuierlich alle neuen Informationen, um weitere Analysen gezielt durchzuführen. Dieser Prozess läuft automatisch, ohne das Eingreifen des Menschen.

Besonderheiten von INVAIDER

Lernfähigkeit:

Hat der INVAIDER mal einen falschen Befehl ausgeführt, wird dieser korrigiert. Den auch das gehört zu einem selbstlernenden System: die Fähigkeit, eigene Fehler zu erkennen und daraus Schlüsse zu ziehen, das eigene Verhalten anzupassen. Hier ein Beispiel:

Comand:

wpscan --url https://www.testserver.attacked

Ergebnis:

_______________________________________________________________

         WordPress Security Scanner by the WPScan Team

                         Version 3.8.27

       Sponsored by Automattic - https://automattic.com/

       @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart

_______________________________________________________________

Scan Aborted: The target is responding with a 403, this might be due to a WAF. Please re-try with --random-user-agent

Das LLM erkennt also seinen Fehler und korrigiert ihn im nächsten Schritt selbstständig. Das LLM fügt den Parameter –random-user-agent hinzu kann so den Befehl korrekt ausführen.

Command:

wpscan --url https://www.testserver.attacked --random-user-agent

Erkundung von Endpunkten:

INVAIDER kann selbstständig Endpunkte erkunden. Ein Beispiel:

Prompt: Teste besonders https://wwwtestserver.attacked/xmlrpc.php

Command:

curl -X POST https://wwwtestserver.attacked/xmlrpc.php --data 'system.listMethods' -H "Content-Type: text/xml"

Output:

Im nächsten Schritt ruft INVAIDER selbständig die Methode addTwoNumbers auf, nachdem er zunächst alle Methoden aufgelistet hat.

Command:

curl -X POST https://wwwtestserver.attacked/xmlrpc.php --data 'demo.addTwoNumbers12' -H "Content-Type: text/xml"

Output:

So würde INVAIDER die aufgelisteten Endpunkte erkunden und analysieren. Der Pentester schaut sich das Ergebnis an und bewertet es. Alternativ kann er INVAIDER die Auswertung erledigen lassen und erhält eine Bewertung aus Sicht des LLM.

Fazit

Bewegte Zeiten haben immer Auswirkungen auf digitale Infrastrukturen. Sei es, dass geopolitische Konflikte auch im Netz ausgetragen werden oder Cyberkriminelle die technischen Möglichkeiten auch für sich zu nutzen wissen. In jedem Fall ist IT Security ein Thema, an dem niemand mehr vorbeikommt.

Vor diesem Hintergrund ist INVAIDER ein echter Fortschritt, weil er ressourcenintensive Softwaretest und Softwarescans durch einen handlichen, smarten Service ergänzt und Pentestern so wirksam die Arbeit erleichtert.