Penetration Tests und Vulnerability Scans

Penetration Tests und Vulnerability Scans

Artikel erschienen in IT Magazine 2021/06

Schritte eines Penetration Tests

Der Ablauf eines Penetration Tests sieht generell wie folgt aus: Workshop – Testphase – Bericht – Präsentation.

In einem ersten Workshop werden die Ziele des Penetration Tests definiert. Hier muss auch klar die Motivation festgehalten werden, die einen potenzieller Hacker antreiben würde. Zudem wird festgehalten, wie weit die beauftragten Hacker gehen dürfen. Die Möglichkeiten eines gezielten Angriffs umfassen ein Blackbox-Hacking von aussen (überhaupt keine Informationen über die Zielsysteme), ein Hacking mit teilweisem oder komplettem Wissen über die interne Infrastruktur (White- oder Grey-Hacking) und können durch netzwerkinterne Tests inklusive Social Engineering ergänzt werden.

Die Testphase wird anschliessend ausführlich beschrieben. Dazu hier nur zwei Bemerkungen: Wichtig ist es, nie das Ziel der Tests aus den Augen zu verlieren. Schnell kann es in der Flut von Informationen geschehen, dass ein falscher Weg eingeschlagen wird. Im Gegensatz steht dazu, dass die Kreativität der Angriffe nicht ausser Acht gelassen werden darf. Ein stures Vorgehen nach Checklisten zeigt offenbart nicht immer das gesamte Bild.

Der Bericht und die Präsentation zeigen das Vorgehen, die eingesetzten Tools sowie die Erkenntnisse aus den Ergebnissen. Sollten Schwachstellen ersichtlich sein, sind diesen Massnahmen zu zuweisen und in einer Prioritätenliste festzuhalten. Zudem sind, soweit möglich, Zusammenhänge aufzuzeigen und in einem gesamtheitlichen Kontext darzustellen.

Der Penetration Test

Der erste Schritt des Penetration Tests umfasst die Informationssuche. Welche Informationen sind im Internet verfügbar, sei dies auf der Homepage des Unternehmens oder über Ergebnisse von Suchmaschinen. Auch Seiten zur Stellensuche sind eine gute Quelle. Sucht die Firma zum Beispiel nach Oracle-­Spezialisten, wird vermutlich auch Oracle als Datenbanklösung eingesetzt. Weitere Informationen liefern auch so genannte Success Stories, in denen ein Lieferant ausführlich beschreibt, welche Lösung er bei der einer untersuchten Firma platziert hat. Das Internet vergisst dabei wenig. Wurde zum Beispiel in einem Forum eine (technische) Frage platziert, kann diese auch nach Jahren noch abgerufen werden. Ebenfalls sind Namen von Personen, eventuell sogar mit einer E-Mail-Adresse versehen, ideal für die weiteren Angriffe. Tools wie Maltego stellen diese Zusammenhänge grafisch dar und erleichtern damit die Auswertung.

Weitere Informationen liefern WHOIS und DNS. Welche Angaben sind zu den IP-Adressen festgehalten? Verfügt das Unternehmen über weitere IP-Adressen? Welche Informationen stehen in den DNS-Einträgen? In den TXT-Einträgen sind regelmässige Hinweise zu eingesetzten Produkten via Adobe, Microsoft 365, Zertifikate oder ähnliches zu finden.

Nachdem bereits viele Informationen zur Verfügung stehen, gilt es, das Angriffsziel einzuschränken. Ein IP- und Portscan liefert die dazu notwendigen Informationen. Es soll geklärt werden, welche IP-Adressen antworten und welche offenen Ports im Internet ersichtlich sind. Daraus leiten sich die interessanten Ziele ab. In der Regel antworten dabei die Standard-Ports (d.h. Ports, die bekannt sind, oft unter 1024, beispielsweise Port 443 für HTTPS). Die Erfahrung zeigt, dass sich viele spannende Ports auch oberhalb der 50’000-Grenze befinden. Es lohnt sich, trotz grossem Zeitbedarf, alle 65’535 möglichen Ports durchzusehen. Gleichzeitig mit dem offenen Port sollte die entsprechende Header-­Information ausgelesen werden. Viele Systeme sind sehr auskunftsfreudig und teilen mit, wer sie sind und vor allem in welcher Version sie vorliegen. Eine Schwachstellen-Suche in öffentlichen Vulnerability-Datenbanken zeigt, ob sich das antwortende Programm auf dem aktuellen Softwarestand befindet oder nicht. Falls nicht, sind vermutlich bereits Tools, so genannte Exploits, ­­im Internet verfügbar, die gegen diese Schwachstelle eingesetzt werden ­können.

Als weitere Möglichkeit stehen Vulnerability-­Scanner auf der Liste. Diese verursachen jedoch einen grossen Lärm. Je nachdem, ob alle Personen der zu untersuchenden Firma Bescheid wissen, können diese bereits zu einem frühen Zeitpunkt eingesetzt werden. Sie dienen dazu, nebst den bereits erwähnten Ports, auch Informationen zum Betriebssystem, Banner (Antworten auf Anfragen), die Kontrolle von bekannten Sicherheitslücken, Verbesserungsvorschläge und automatisch generierte Berichte zu erstellen.

Nach diesen Tests stehen sehr viele Informationen zur Verfügung, die es gilt, weiter zu verwerten. So können Skripts missbraucht, SQL-Abfragen manipuliert und Schwachstellen in der gefundenen Software ausgenutzt werden. Login-Angaben für Webseiten, E-Mail, FTP, VNC, RDP und für viele weitere Programme können durch Dictionary (d.h. durch Wörterbücher) oder Brute-Force-Attacken (dem wilden Durchprobieren) geknackt werden. Hier benötigt man aber viel Zeit, ausser es werden schwache Passworte verwendet.

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER