Embed Size (px)
Citation preview
Ratgeber PenetrationstestsGrundlagen und Praxistipps für das Penetration-Testing
COP
YRIG
HT: L
OLLO
J- FO
TOLIA
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS2
EDITORIAL
Penetrationstests richtig durchführen
Früher gaben sich die Unternehmen oft damit zufrieden, das Firmennetzwerk auf Schwachstellen zu testen, um den Angreifern durch das Beseitigen von Lücken das Eindringen zu erschweren. Das reicht heute nicht mehr aus, denn die Attacken richten sich auch gegen Web-Anwendungen und andere extern erreichbare Services. Deshalb geht ohne Penetrationstests (kurz: Pen-Tests) nichts mehr.
Pen-Tests sind die Kunst, eine IT-Infrastruktur, einzelne Komponenten oder Anwendungen einem umfassenden Härtetest zu unterziehen. Dabei werden Schwachstellen aufgedeckt, die es einem böswilligen Benutzer ermöglichen können, die IT-Sicherheitsvorkehrungen der getesteten Umgebung oder Anwendung zu überwinden.Konkret soll beim Pen-Test herausgefunden werden, ob es gelingt, sich unautorisierten Zugriff auf Systeme zu verschaffen. Zu diesem
Zweck werden kriminelle Hacker imitiert, indem die gleichen Tools und Techniken zum Einsatz kommen, mit denen auch echte Angreifer Sicherheitslücken ausnutzen könnten.
Weil Netzwerke und Software immer komplexer und die damit verbundenen Bedrohungen immer größer werden, wird dabei zunehmend auf Automatisierung gesetzt.
Dieses E-Handbook bietet Ihnen einen umfassenden Überblick zum Thema Penetration-Testing. Wir berücksichtigen dabei nicht nur, wie und mit welchen Tools Sie Penetrationstests durchführen können. Besonders wichtig ist auch, dass Sie bei Pen-Tests die Vorgaben des Datenschutzes beachten. n
Michael EckertEditorial DirectorTechTarget Deutschland
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS3
DATENSCHUTZ
Penetrationstests müssen den Datenschutz wahren
Das Thema IT-Sicherheit hat in Unternehmen höchste Priorität – zumindest sollte sie das. Eine Dell-Studie im Jahr 2014 fand allerdings heraus, dass sich nur 55 Prozent der Unternehmen in Deutschland mit langfristigen Strategien gegen künftige Bedrohungen gewappnet sehen. Trotz der hohen Priorität fehlen somit die richtigen Konzepte für die IT-Sicherheit.
Ein wesentlicher Grund für die fehlenden Konzepte ist, dass die Unternehmen ihre bestehenden Risiken, den aktuellen Schutzbedarf und die vorhandenen Schwachstellen ihrer IT nicht gut genug kennen.
So ergab zum Beispiel eine Ponemon-Studie, dass 85 Prozent der befragten IT-Experten sich nicht in der Lage sehen, alle Schwachstellen bei mobilen Endgeräten zu ermitteln. Grund genug, externe Sicherheitsauditoren ins Boot zu holen, die Schwachstellen aufspüren, indem sie Penetrationstests durchführen.
PENETRATIONSTESTS FINDEN SCHWACHSTELLEN
Die Idee hinter Pen-Tests ist bestechend: Vom Unternehmen beauftragte Hacker sollen die Sicherheitslücken finden, bevor es echte, also kriminelle Angreifer tun. Zum Einsatz kommen dabei möglichst realitätsnahe Methoden. Die simulierten Attacken nutzen Wege zu den vertraulichen Informationen und IT-Ressourcen, die die Angreifer auch gehen würden. Je nach Variante der Penetrationstests erhalten die Auftrags-Hacker Insider-Informationen zu den Netzwerken, Konfigurationen und
Vom Unternehmen beauftragte Hacker sollen die Sicherheitslücken finden, bevor es echte, also kriminelle Angreifer tun.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS4
Sicherheitseinstellungen, oder die Pen-Tests laufen ohne interne Kenntnisse ab. In jedem Fall aber sollten sie nicht ohne Datenschutzkontrolle durchgeführt werden.
FÜR PENETRATIONSTESTS GIBT ES KEINE
AUSNAHMEN VOM DATENSCHUTZ
Das bedeutet: Die Simulation eines Angriffs auf die IT-Systeme darf nicht so realitätsnah sein, dass sich die Auftragshacker über den Datenschutz hinwegsetzen, wie es die echten Angreifer natürlich tun. Die deutschen Aufsichtsbehörden für den Datenschutz haben klargestellt, dass personenbezogene Daten immer einen gleich hohen Schutz erfahren müssen, egal ob es sich um Test-, Projekt- oder
Produktivphasen des IT-Betriebs handelt. Das heißt konkret: Ein Penetrationstest unterliegt dem Datenschutz und darf personenbezogene Daten nicht unnötig gefährden.
PENETRATIONSTESTS ALS
AUFTRAGSDATENVERARBEITUNG
Es mag vielleicht ungewohnt klingen, aber die beauftragten White-Hat-Hacker oder Ethical Hacker werden zu Auftragsdatenverarbeitern, wenn sie im Zuge des simulierten Angriffs personenbezogene Daten verarbeiten, also zum Beispiel auf diese zugreifen, um den Zugangsschutz zu überprüfen.
Die rechtlichen Vorgaben aus dem Bundesdatenschutzgesetz (§ 11 BDSG) sind auch beim Auftrag für Penetrationstests zu beachten, wenn nicht ausgeschlossen werden kann, dass personenbezogene Daten davon betroffen sind.
Unternehmen tun aber auch dann gut daran, das Vorgehen der Penetrationstester genau zu hinterfragen, wenn auch andere Arten vertraulicher Daten bei der Angriffssimulation zugänglich werden.
Die deutschen Aufsichtsbehörden für den Datenschutz haben klargestellt, dass personenbezogene Daten immer einen gleich hohen Schutz erfahren müssen.
DATENSCHUTZ
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS5
DATENSCHUTZ
EXAKTER AUFTRAG UND GENAUE
DOKUMENTATION ERFORDERLICH
Unternehmen, die ihre IT-Schwachstellen herausfinden wollen, sollten bei der Beauftragung eines Penetrationstests genau festlegen,
• welches Ziel und welche Dauer der simulierte Angriff haben soll,
• welche Daten davon betroffen sein können,• welche Schutzmaßnahmen für die
betroffenen Daten ergriffen werden müssen,
• welche Datenschutzauflagen für die Dienstleister und ihre möglichen Subauftragnehmer gelten,
• welche Kontrollrechte definierte interne Mitarbeiter wie der eigene
Datenschutzbeauftragte haben,• wer in welcher Form bei möglichen
Problemen mit dem Datenschutz zu informieren ist und
• was mit den unter Umständen „erbeuteten“ Daten nach dem Penetrationstest zu geschehen hat.
QUALIFIKATION UND DATENSCHUTZ-
UNTERWEISUNG DÜRFEN NICHT FEHLEN
Bei einem simulierten Angriff könnte einiges schiefgehen: Daten könnten beispielsweise verloren gehen oder ungewollt über das Internet für Dritte zugänglich werden.
Deshalb ist es wichtig, dass die beauf-tragenden Unternehmen einen Testplan für den Auftragsangriff haben, selbst wenn die Attacke für die interne IT überraschend erfolgen soll. Es muss informierte Stellen im Unternehmen geben, die bei Problemen in Verbindung mit dem Penetrationstest zeitnah reagieren können.
Zudem sind interne Stellen unverzichtbar, die die Qualifikation der Auftrags-Hacker beurteilen können. Nicht zuletzt sollte intern
Bei einem simulierten Angriff könnte einiges schiefgehen: Daten könnten beispielsweise verloren gehen oder ungewollt über das Internet für Dritte zugänglich werden.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS6
PCI DSS 3.0
geprüft werden, ob die Penetrationstester auch nach dem deutschen Datenschutz unterwiesen sind, also zum Beispiel auf das Datengeheimnis verpflichtet werden.
PEN-TEST-ERGEBNISSE SCHÜTZEN UND NUTZEN
Penetrationstests können die Datensicherheit nur erhöhen, wenn sie nicht selbst zum Datenrisiko werden, Daten dadurch also gelöscht oder Dritten unerlaubt zugänglich gemacht werden. Die simulierten Angriffe helfen aber
auch dann nur, wenn die Ergebnisse und damit die Schwachstellen Unbefugten nicht in die
Hände fallen. Außerdem sind die entdeckten Sicherheitslücken so weit wie möglich zu beseitigen. –Oliver Schonschek
Es sollte intern geprüft werden, ob die Penetrationstester auch nach dem deutschen Datenschutz unterwiesen sind.
DATENSCHUTZ
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS7
PCI DSS 3.0
Wann und wie Sie Penetrationstests vornehmen sollten
IT-Sicherheit kann in ihrer ursprünglichsten Form mit Begriffen wie Vertraulichkeit, Verfügbarkeit und Integrität umschrieben werden. Angesichts der weltweiten Fälle von Datendiebstahl sind die meisten Organisationen jedoch tendenziell zu sehr auf den Aspekt Vertraulichkeit fokussiert. Dabei sind Integrität und Verfügbarkeit mindestens genauso unverzichtbar.
Viele IT-Sicherheitsexperten tendieren dazu, den Fokus bei Penetrationstests nur auf die Netzwerkschichten zu legen. Aber das reicht nicht aus – weil Hacker sich im Stack weiter nach oben arbeiten, sind solche Tests heutzutage eine komplexe Angelegenheit. Anstatt einfach nur nach offenen Ports für den Angriff auf ein Netzwerk zu suchen, sind Hacker inzwischen dazu übergegangen, ihre Angriffe zum Beispiel per Injektion in ansonsten validem Web-Traffic zu verpacken.
Dies hängt mit zwei Tatsachen zusammen: Erstens schotten die meisten Unternehmen ihre
Netzwerke mittlerweile ab und schließen Lücken, die traditionell zum Eindringen ausgenutzt wurden. Zweitens ist echtes Geld am ehesten mit dem Einsammeln und Weiterverkauf von Daten zu verdienen, und an die kommt man am besten über entsprechende Web-Anwendungen.
NUR EIN NETZWERK ZU HACKEN REICHT HEUTE
NICHT MEHR AUS
Deshalb passt das traditionelle Modell, nur ein Netzwerk zu hacken, nicht mehr in die heutige Welt. Als Penetrationstester müssen Sie das nötige Verständnis und Wissen dafür entwickeln, wie Sie sowohl das Netzwerk als auch eine Anwendung testen können.
Trotzdem sollten Sie auch den Netzwerktest selbst nicht unterschätzen: Ein offener Port wirkt wie eine offene Tür. Und selbst wenn sich diese Gelegenheit nur selten bietet, wird ein Hacker stets mit Grundlagen wie diesen
TESTZIELE
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS8
PCI DSS 3.0GENERATION-2-
VMS
beginnen. Also sollte Ihr Penetrationstest unbedingt auch Eindringversuche in die Netzwerkschicht umfassen. Penetrationstests auf Anwendungsseite basieren am besten auf einer methodischen Herangehensweise. Hierbei sind die OWASP Top Ten sehr hilfreich. Dort sind die jährlichen Top Ten der Schwachstellen aufgeführt, basierend auf weltweiten Erfahrungen und Lücken.
Eignen Sie sich die nötige Kompetenz zum Testen eben dieser wichtigsten zehn Schwachstellen an und prüfen Sie damit Ihre Anwendung. Arbeiten Sie dies in den manuellen Testabschnitt einer OWASP-Application-Security-Verification-Analyse Ihrer Anwendung ein. So erreichen Sie eine möglichst umfassende IT-Sicherheit.
Der beste Zeitpunkt für diesen Testvorgang kann von Team zu Team variieren. Zum Teil ist er davon anhängig, in welcher Phase das Testteam arbeitet, zum Teil von der Verfügbarkeit der Anwendung und der Ressourcen. Es gibt eine Reihe von Pflichtübungen, die im Laufe des Lebenszyklus durchgeführt werden sollten, wie folgende Beispiele zeigen: In der Designphase
erstellen Sie am besten ein Bedrohungsmodell. Identifizieren Sie die Komponenten der Anwendung. Ermitteln Sie, wann Daten Vertrauensgrenzen überschreiten, und bewerten Sie die Bedingungen, unter denen die Daten bewegt werden (etwa Authentifizierung, Berechtigung oder Datenbereinigung).
Einige der Penetrationstests bei Anwendungen können bereits in der Implementierungsphase stattfinden. Sobald eine Anwendungskomponente den Status „Code complete“ erreicht, kann das Testteam mit einer OWASP-Evaluierung dieser Komponente beginnen. Weiterreichende Anwendungsanalysen müssen dann gegebenenfalls bis zur Abnahme durch den Kunden oder sogar bis zur Deployment-Phase des Projektes warten. Diese muss jedoch auf jeden Fall mit einer Validierung dahingehend enden, ob die Konfigurationseinstellungen korrekt sind. Es gibt nichts Schlimmeres, als wenn in Ihrer Anwendung versehentlich eine Tür unverschlossen bleibt, weil ein Netzwerktechniker oder Entwickler es versäumt hat, bei einer E-Commerce-Applikation SSL zu aktivieren. –John Overbaugh
TESTZIELE
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS9
PCI DSS 3.0
Wie PCI DSS 3.0 die Anforderungen an Penetrationstests verändert
Der im November 2013 verabschiedete Payment Card Industry Data Security Standard 3.0 (PCI DSS 3.0) verlangt von allen Händlern Penetrationstests, um sicherzustellen, dass ihre Umgebungen geschützt sind. Nach einer Übergangsphase 2014 ist PCI DSS 3.0 ab dem Jahr 2015 verbindlich.
Einige der PCI-DSS-3.0-Kontrollmechanismen haben aber eine verlängerte Frist. Dazu gehören die Sektionen 11.3 für Penetrationstests und 9.9 für die physischen Sicherheitsanforderungen. Bis dahin gelten sie als Best Practices und werden am 1. Juli 2015 verpflichtend.
Diese Tests sind zwar keine neue Anforderung von PCI DSS 3.0, doch in PCI DSS 3.0 ist die Sprache zu diesem Thema deutlich schärfer. So müssen Penetrationstests in PCI DSS künftig zum Beispiel folgende Schlüsselpunkte erfüllen:
• Penetrationstests müssen auf einem Modell
basieren, das in der Industrie anerkannt ist. Ein Beispiel ist das NIST-SP-800-115 Framework. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Zusammenfassung zur Durchführung von Penetrationstests.
• Die Penetrationstests müssen die komplette Umgebung des Händlers umfassen.
• Zudem müssen die Pen-Tests Bedrohungen sowohl auf dem Applikations-Layer als auch auf dem Netzwerk-Layer abdecken.
Die Penetrationstests sind einmal jährlich aus einer internen und einer externen Perspektive durchzuführen. Nach einer signifikanten Änderung in der Infrastruktur oder bei Anwendungen ist ein erneutes Testing notwendig. Zusätzlich muss jede gefundene Schwachstelle behoben und erneut getestet werden. –Mike Chapple
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS10
SOCIAL ENGINEERING
Penetrationstests mit Social Engineering: Vier effektive Techniken
Das sogenannte Social Engineering (etwa: soziale Manipulation) hat sich zu einer der wichtigsten Angriffstechniken im Computerbereich entwickelt. Der Einbruch bei RSA im Jahr 2011 zum Beispiel kam mithilfe von gezieltem Phishing (Spear Phishing) und einer Excel-Datei voller Exploits zustande. Organisationen, die sich mit der tatsächlichen Bedrohungslage auseinandersetzen wollen, sollten deshalb zwingend auch Penetrationstests mittels Social Engineering vorsehen. Beim Social Engineering dreht sich alles um Psychologie.
Es gibt eine Reihe unterschiedlicher Anreize und Motivationen, für die Menschen sehr anfällig sind. Angreifer können diese ausnutzen, um ihre Adressaten zu einer bestimmten Handlung zu veranlassen. In seinem Klassiker „Die Psychologie des Überzeugens“, erstmals veröffentlicht 1984, beschreibt der Marketingprofessor Robert Cialdini sechs Schlüsselfaktoren der Motivation:
• Reziprozität: Wir fühlen uns verpflichtet gegenüber jemanden, der etwas für uns getan hat.
• Sozialer Beweis: Um zu entscheiden, ob etwas richtig ist, orientieren wir uns an anderen Menschen.
• Verpflichtung/Konsistenz: Wir entwickeln Verhaltensmuster und lassen sie zur Gewohnheit werden.
• Sympathie: Wir wollen dazugehören und sind von jemandem, den wir mögen, leichter zu überzeugen.
• Autorität: Bitten oder Forderungen von Personen, die Autorität ausstrahlen, werden eher erfüllt.
• Knappheit: Exklusive oder begrenzt verfügbare Dinge motivieren uns stärker.
Penetrationstester, die Analysen mittels Social Engineering vornehmen, können sich diese Motivationsfaktoren zunutze machen.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS11
Dazu wiederum gibt es konkret vier effektive Techniken: Phishing, Pretexting (Vorspiegeln von Umständen), Media Dropping (scheinbares Verlieren von Speichermedien) und Tailgating (Umgehen von Kontrollen).
PHISHING
Beim Phishing wird eine E-Mail an einen Nutzer geschickt, die bei ihm eine bestimmte Handlung auslösen soll. In Penetrationstests besteht das Ziel dabei meist nur darin, dass die Nutzer auf etwas klicken, was dann registriert wird.
In manchen Fällen wird dadurch als Teil von umfangreicheren Tests auch ein Programm installiert. Dabei können die eingesetzten Exploits individuell auf Software mit bekannten Problemen beim Kunden abgestimmt werden, etwa auf Browser, Plug-ins und Programme für dynamische Inhalte oder Medien.
Der Schlüssel zu erfolgreichem Phishing ist Personalisierung. Wenn die E-Mail genau auf den geplanten Empfänger abgestimmt ist, indem sie von einer scheinbar vertrauenswürdigen Quelle abgeschickt wird, steigt die Wahrscheinlichkeit,
dass der Empfänger sie liest und den enthaltenen Anweisungen folgt.
Ein guter Penetrationstester wird dabei stets auf korrekte Schreibweise und Grammatik achten – gut geschriebene E-Mails sind, selbst wenn sie kurz sind, deutlich glaubwürdiger.
Das wohl bekannteste Werkzeug für die Entwicklung von Phishing-Attacken ist das Social Engineering Toolkit (SET), das als Open Source zur Verfügung steht.
Sein über Menüs gesteuertes System zur Gestaltung von Angriffen und E-Mails macht es zu einem der einfachsten Phishing-Hilfsmittel überhaupt. Kommerzielle Angebote wie zum Beispiel PhishMe von PhishMe Inc. oder PhishGuru von Wombat Security können ebenfalls nützlich sein.
SOCIAL ENGINEERING
Es gibt eine Reihe unterschiedlicher Anreize und Motivationen, für die Menschen sehr anfällig sind. Angreifer können diese ausnutzen.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS12
SOCIAL ENGINEERING
PRETEXTING
Beim Pretexting wird die Zielperson angerufen, und der Angreifer versucht, Informationen von ihr zu bekommen. Dazu behauptet er meist, Hilfe zu brauchen. Diese Technik funktioniert besonders gut bei Nutzern, die wenig technisches Wissen haben, aber über wichtige Informationen verfügen. Die erfolgreichste Strategie dabei ist, mit kleinen Fragen zu beginnen und die Namen von tatsächlich existierenden Personen im Unternehmen zu erwähnen, die angeblich auf etwas warten.
Im Pretexting-Gespräch erklärt der Penetrationstester, warum er die Hilfe seines Opfers braucht – die meisten Leute sind zu einem kleinen Gefallen bereit, wenn dieser nicht verdächtig erscheinen. Wenn eine erste Verbindung hergestellt ist, kann der Tester mit höheren Erfolgsaussichten weitergehende Bitten formulieren. Eine Aufklärung vor dem Pretexting, etwa mithilfe von Google oder Werkzeugen wie Maltego von Paterva, kann nützliche Hintergrundinformationen liefern. Mit Masking- und Proxy-Werkzeugen fürs Telefon wie SpoofCard, SpoofApp von TelTech Systems
oder Add-ons für Asterisk PBX von Digium Inc. lässt sich die eigene Telefonnummer verbergen – sogar so, dass der Anruf von innerhalb des Unternehmens zu kommen scheint.
MEDIA DROPPING
Bei dieser Technik wird meist ein USB-Speicherstick an einem auffälligen Ort hinterlassen, etwa einem Firmenparkplatz oder im Eingangsbereich eines Unternehmens. Der soziale Manipulator hat darauf zuvor eine interessant anmutende Datei abgelegt, die beim Öffnen eine Angriffssoftware auf dem Computer des Opfers installiert.
Ein kostenloses Werkzeug dafür ist Metasploit (siehe den Artikel „Metasploit nutzen und abwehren“) mit seinem eingebauten Generator für schädliche Programme. Auch die Funktion „Infectious Media Generator“ in SET verwendet Metasploit, automatisiert aber den Prozess. Mit SET lassen sich ordnungsgemäß ausführbare Programme schaffen, die automatisch gestartet werden, wenn auf dem Ziel-PC die Autorun-Funktion aktiviert ist. Automatische Ausführung
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS13
PCI DSS 3.0
und interessante Dateinamen zusammen können die Erfolgschancen deutlich erhöhen. Noch raffinierter wird Media Dropping, wenn der Angreifer (oder hoffentlich nur Tester) auf dem USB-Laufwerk maßgeschneiderte Angriffe und Programme ablegt. Man kann sogar fertig vorbereitete Laufwerke für solche Zwecke kaufen. Die Chancen von USB-Angriffen steigen durch eine Kombination von automatisierten Exploits mit weiteren schädlichen Dateien – die Formate PDF, Word und Excel eignen sich am besten dafür. Auch ein Etikett für das Laufwerk, das neugierig macht – etwa „Personaldaten“ oder „Beschäftigte“ –, kann helfen.
TAILGATING
Beim Tailgating wird mit Druck, Tricks oder einfachem Hineingehen versucht, Zutritt zu einem physisch gesicherten Gebäude zu erhalten. Bei einem derartigen Penetrationstest geht es meist darum, zu demonstrieren, dass physische Sicherheitsmaßnahmen umgangen werden können. Dabei sollten Penetrationstester darauf vorbereitet sein, sensible Daten schnell zu
kopieren oder ein mitgebrachtes Gerät rasch zu installieren – möglicherweise haben sie nur wenig Zeit, bevor sie das Gebäude wieder verlassen müssen. Vorher können sie Fotos von auf Druckern oder Schreibtischen zurückgelassenen
Unterlagen machen oder ein Gerät installieren, über das sie später mittels WLAN oder Mobilfunk virtuell wieder Zugriff auf die besuchte Umgebung bekommen. Mit diesen vier Techniken für Social Engineering können Penetrationstester die Schwachstellen eines Unternehmens aufdecken. Anschließend können sie Sicherheits- und Aufklärungsmaßnahmen empfehlen, mit denen sich die Wahrscheinlichkeit verringern lässt, das ihr Kunde zum Opfer von Social Engineering wird. – Dave Shackleford
Noch raffinierter wird Media Dropping, wenn der Angreifer auf dem USB-Laufwerk maßgeschneiderte Angriffe und Programme ablegt.
SOCIAL ENGINEERING
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS14
PCI DSS 3.0
Automatisierte Penetrationstests durchführen
Im vorigen Artikel war bereits von automatisierten Penetrationstests die Rede. Schaut man sich digitale Security-Toolkits von Sicherheitsexperten an, dann spielen diese automatisierten Penetrationstests eine entscheidende Rolle. Als Teil eines umfassenden Security-Programms können diese Tools sehr schnell die Sicherheit von Systemen, Netzwerken und Applikationen evaluieren und eine hohe Anzahl an Bedrohungen feststellen.
Security-Profis sollten diese Tools allerdings nur als Zusatz sehen und nicht als Ersatz für manuelle Tests.
WAS SIND AUTOMATISIERTE
PENETRATIONSTESTS?
Penetrationstests gelten im Allgemeinen als beste Möglichkeit, die Systemsicherheit zu testen, da sie nah an der Realität sind. Will man diese Tests angemessen ausführen, benötigt man dafür
aber Fachwissen und Zeit. Im Idealfall besitzt der Tester ein gleichwertiges oder besseres Fachwissen als die potenziellen Angreifer.
Da Pen-Tests sehr aufwendig sind, automatisieren viele Unternehmen Teile davon. Der Test wird immer noch von einem qualifizierten Security-Profi überwacht. Allerdings sind viele der Schritte automatisiert, um sich der Routineaufgaben zu entledigen. Zum Beispiel setzen Tester auf Schwachstellen-Scanner, um eine große Anzahl an Systemen auf potenzielle Sicherheitslücken zu überprüfen. Hierfür werden automatisierte Exploit-Tools verwendet, die einen mehrstufigen Angriff starten.
WARUM AUTOMATISIERTE TESTS?
Der Einsatz dieser Tools bietet Unternehmen einige entscheidende Vorteile. Scannt man die Umgebung regelmäßig, lassen sich neue Schwachstellen schneller erkennen. Weiterhin
AUTOMA-TISIERUNG
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS15
PCI DSS 3.0
können die Tools eine größere Anzahl von Systemen auf bekannte Sicherheitslücken prüfen als entsprechende manuelle Werkzeuge. Zudem müssen hoch qualifizierte Fachkräfte keine monotone Arbeit ausführen und können sich auf die Koordination des Tests konzentrieren, um die Expertise dort einzusetzen, wo sie am wertvollsten ist.
Automatisierte Testing-Tools können auch eine Schlüsselkomponente für Konformitätsprogramme sein. Der in diesem E-Handbook bereits erwähnte PCI DSS (Payment
Card Industry Data Security Standard) setzt zum Beispiel regelmäßige Schwachstellenbewertungen von Systemen voraus, die bei der Kreditkartenverarbeitung eingesetzt werden. Automatisierung ist die einzig realistische Möglichkeit, dieser Anforderung nachzukommen.An dieser Stelle ist allerdings anzumerken,
dass Automatisierung kein Allheilmittel für PCI-Konformität ist. Der Standard besagt: Ein Penetrationstest ist im Allgemeinen ein manueller Prozess. Während man einige Automatisierungs-Tools einsetzen kann, benutzt der Tester sein Fachwissen, um Zugriff zu einer Umgebung zu finden.
DIE RICHTIGEN TOOLS WÄHLEN
Das digitale Toolkit eines Penetrationstesters sollte eine Auswahl diverser Automatisierungs-Tools beinhalten. Damit kann er so viel Arbeit wie möglich automatisieren und zusätzlich manuell eingreifen, falls das notwendig ist. Die Auswahl an Werkzeugen sollte eine Management-Suite für das Erkennen von Netzwerk-Schwachstellen enthalten. Beispiele sind Nessus, Qualsys oder Rapid7. Diese Tools können schnelle und umfangreiche Scans von Netzwerkschwachstellen im gesamten Unternehmen ausführen.
Weiterhin ist es empfehlenswert, dass Penetrationstester Zugriff auf Web-Penetration-Testing-Tools wie Acunetix oder WebInspect haben. Damit untersucht man Web-Applikationen
Scannt man die Umgebung regelmäßig, lassen sich neue Schwachstellen schneller erkennen.
AUTOMA-TISIERUNG
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS16
PCI DSS 3.0
auf bekannte Sicherheitslücken wie SQL Injection oder Cross-Site Scripting.
Außerdem sollte sich in jedem Security-Arsenal das Open-Source-Tool Metasploit Framework befinden. Diese Anwendung, bestehend aus Daten zu Sicherheitslücken und Exploit-Tools, ist die Brücke zwischen automatisierten und manuellen Tests. Werden Schwachstellen von den Netzwerk- oder Web-Bewertungs-Tools gefunden, kann der Tester evaluieren, ob ein Angreifer diese tatsächlich auch ausnutzen kann.
Grundsätzlich ist das Metasploit Framework kostenlos. Einige kommerzielle Anbieter stellen
grafische Schnittstellen und andere Tools zur Verfügung, die auf das Framework aufsetzen.
Automatisierte Penetrationstests können einen entscheidenden Vorteil für Security-Programme bieten. Mithilfe dieser Tools können Sie die Sicherheit der IT-Systeme schnell und umfassend bewerten. –Mike Chapple
AUTOMA-TISIERUNG
Das digitale Toolkit eines Penetrationstesters sollte eine Auswahl diverser Automatisierungs-Tools beinhalten.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS17
PCI DSS 3.0
Automatisierte Penetrationstests umsichtig angehen
Penetrationstests können entmutigend wirken – man muss sich nur einmal die Anzahl der Systeme und Anwendungen sowie die Komplexität des Netzwerks ansehen. Deshalb führen InfoSec-Profis lediglich „der Form halber“ diverse Prozesse durch, um Konformitätsanforderungen zu erfüllen, oder sie suchen nach anderen Möglichkeiten, diese Tests komplett zu übergehen.
Aber zu welchem Preis? Es ist wie überall im Leben: Eine halbherzige Herangehensweise an Penetrationstests wird auch nur ein halbgares Resultat liefern. Bei Konformität und Informationsrisiken ist das allerdings ein Problem, und es wird unausweichlich zu Verletzungen der Datensicherheit kommen.
InfoSec-Profis können seit Jahren Aufgaben wie Log-Management, Einspielen von Patches und Quell-Code-Analyse automatisieren. Praktiziert man das bei bestimmten Teilen des Penetrationstests, lassen sich die notwendigen
Ressourcen reduzieren, und man behält dennoch die Integrität des Penetrations-Testing-Prozesses bei. Allerdings muss man umsichtig an die Sache herangehen.
AUTOMATISIERUNG MIT BEDACHT
Zunächst einmal sollten Sie Ihren speziellen Fall von „Penetrationstest“ so gut wie möglich definieren und identifizieren, was Sie damit eigentlich erreichen wollen. Einige sehen darin simple Schwachstellen-Scans, die zum Ziel haben, einen Auditor zu beschwichtigen. Andere wollen beweisen, dass sie eine einzelne Sicherheitslücke finden, die sich möglicherweise ausnutzen lässt. Ich bevorzuge eine breitere Schwachstellenbewertung, bei der alles mit einer IP-Adresse oder einer URL ein potenzielles Angriffsziel ist.
Fangen Sie mit den wichtigsten Systemen an. Unter Umständen muss man auch das Netzwerk
PEN-TESTS ANGEHEN
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS18
PCI DSS 3.0
mit einbeziehen, weil externe, böswillige Hacker und Mitarbeiter keine Grenzen kennen. Testen Sie alle Aspekte der Systeme und versuchen Sie diese von allen Seiten anzugreifen. Andernfalls ist dieses Security-Programm zum Scheitern verurteilt. Diese Herangehensweise ist vor allem im Zusammenhang mit „automatisierten“ Penetrationstests wichtig.
Warum? Weil Sie mit den derzeitigen Tools nicht jeden Test für jedes System und jede Applikation automatisieren können. Zum Beispiel lassen sich die meisten Funktionen automatisieren, die schwache Passwörter auf Netzwerk-Hosts identifizieren.
Das gilt aber nicht für die assoziierten Prozesse, die über das Login hinausgehen, um beispielsweise das Netzwerk zu durchsuchen oder Daten zu manipulieren. Man nennt diese Form von Tests authentifizierte Schwachstellen-Scans (Authenticated Vulnerability Scans). Sie lassen sich zwar skripten, allerdings ist das keine echte Automatisierung. Das gilt auch für das Entdecken von Exploits für Schwachstellen in Anmeldemechanismen für Web-Applikationen, Anwendersitzungsmanagement und SQL
Injection. Individuelle Funktionen wie das Finden von SQL Injection und das Extrahieren von Informationen aus der Datenbank lassen sich automatisieren. Den kompletten Prozess kann man nicht als „Ein-Klick-Lösung“ umsetzen. Der Einsatz von Menschen und Fachwissen ist notwendig, um gezielt vorgehen und die besten Resultate erzielen zu können.
TOOLS SIND LEDIGLICH HILFSMITTEL
Der Wunsch nach Automatisierung hat zu einigen neuen Funktionen in populären Schwachstellen-Scannern geführt. Dazu gehört Spezialsoftware für das Cracken von Passwörtern in Web-Applikationen wie den im vorigen Artikel erwähnten Acunetix Web Vulnerability Scanner. Metasploit Pro lässt sich nutzen, um an Kommandozeilenaufforderungen zu kommen und Backdoors einzuschmuggeln.
Aber auch diese Tools automatisieren den Prozess nicht komplett. Bei Metasploit Pro zum Beispiel muss die IT-Abteilung zuerst einen Schwachstellen-Scanner wir Nexpose von Rapid7 oder Nessus laufen lassen, um
PEN-TESTS ANGEHEN
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS19
PCI DSS 3.0
die Security-Lücken zu identifizieren. Die Anwenderschnittstellen von Metasploit Pro und kommerziellen Schwachstellen-Scannern
sind relativ einfach. Das gilt aber nicht für alle Tools aus dem Bereich Pen-Testing. Wer kein technisches Training absolviert hat, fühlt sich an dieser Stelle vielleicht ein wenig verloren.
Das Tolle an Penetrationstests in der heutigen Zeit ist die Menge der verfügbaren Test-Tools. Damit können Tester etwa Passwörter bei unverschlüsselten Notebooks oder drahtlosen Netzwerken binnen Minuten knacken. Auch das Starten einer Phishing-Kampagne via E-Mail zu Testzwecken ist sehr einfach möglich.
Zugriff auf Netzwerkfreigaben und persönliche Informationen lassen sich recht schnell ermöglichen. Allerdings ist das mit etwas mehr Aufwand verbunden als nur einem Klick. Penetrationstester haben möglicherweise fortschrittliche Tools in der digitalen Werkzeugkiste. Das Erkennen, Aufzählen und das Reporting der Ergebnisse lassen sich allerdings nicht vollständig automatisieren. Meiner Meinung nach wird das auch so bleiben.
Eine tief greifende Security-Untersuchung ist mehr, als nur ein paar IP-Adressen oder URLs einzugeben und auf „Los“ zu klicken. Zwar lassen sich bestimmte Prozesse und Workflows in puncto Effizienz optimieren, doch entscheidend für den Ausgang werden eher Kreativität und Fachwissen sein.
Im Endeffekt ist es egal, wie viele Exploits der Penetrationstest erkennt: IT-Profis müssen abwägen, was ein echtes Security-Risiko ist und was nicht. –Kevin Beaver
Das Tolle an Penetrationstests in der heutigen Zeit ist die Menge der verfügbaren Test-Tools.
PEN-TESTS ANGEHEN
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS20
PCI DSS 3.0
Metasploit nutzen und abwehren
Automatisierte Security-Tools sind einer der größten Fortschritte in der IT-Sicherheit. Das Konzept ist aber nicht neu: 1995 hat das Security Administrator Tool for Analyzing Networks (SATAN) den Umbruch bei Security-Tools ausgelöst. Seitdem wurde Automatisierung immer weiter entwickelt und beinhaltet heute unter anderem Binär- und Malware-Analysen, Sandboxes, Schwachstellen- und Code-Scanner.
Speziell bei der automatisierten Schwach-stellenanalyse ist die Arbeit mit dem Metasploit Framework zu einer der populärsten Methoden und für Unternehmen zu einem kritischen Tool geworden, um ihr Netzwerk zu verteidigen. Leider findet Metasploit so gut Sicherheitslücken, dass viele Cyber-Kriminelle es ebenfalls nutzen. Sie setzen das Tool ein, um verwundbare Systeme zu entdecken und diese zu kompromittieren.
In diesem Beitrag erläutern wir, wie Metasploit funktioniert und warum Firmen es einsetzen sollten. Zudem erklären wir, wie Sie
entsprechende Kontrollmaßnahmen entwerfen und sicherstellen, dass Angreifer nicht mit Metasploit in Ihr Unternehmensnetzwerk eindringen können.
WIE METASPLOIT FUNKTIONIERT
Die Open-Source-Software Metasploit wurde 2003 von H. D. Moore entwickelt und wird bei automatischen Penetrationstests eingesetzt. Wurde ein neuer Exploit entdeckt, wird dieser von Rapid7 und den über 200.000 Anwendern katalogisiert. Jeder, der Metasploit verwendet, kann den Exploit anschließend für Tests einsetzen und überprüfen, ob das System für diesen anfällig ist.
Metasploit lässt sich mit dem Metasploit Framework erweitern, wobei die kontrollierende Schnittstelle eine Security-Lücke identifiziert, diese ausnutzt, Informationen zum Exploit liefert und bei manchen Interfaces auch Reports zur
METASPLOIT
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS21
PCI DSS 3.0
Verfügung stellt. Das Metasploit Framework importiert Daten von einem Schwachstellen-Scanner und nutzt diese Details, um verwundbare Hosts und deren Sicherheitslücken zu identifizieren. Danach startet die Software einen Angriff und verwendet einen sogenannten Payload, um das System zu kompromittieren. Security-Administratoren können dies mithilfe
des Metasploit Web Interfaces managen, das verschiedene Schnittstellen bietet. Hierzu gehören kommandozeilenbasierte Tools, Web-basierte GUIs und kommerzielle Werkzeuge.
Angreifer können die Ergebnisse des Schwachstellen-Scanns in Armitage, einem Open-Source-Security-Tool im Metasploit Framework, importieren. Auf diese Weise lassen sich Security-Lücken mit den Metasploit-Modulen aufdecken. Sobald die Schwachstelle
identifiziert ist, kann aber auch ein Angreifer einen entsprechenden Exploit verwenden und das System angreifen. Somit erhält der Cyber-Kriminelle unter Umständen Zugriff auf eine Shell oder kann das Client-Programm Meterpreter in Metasploit starten, um das System zu kontrollieren.
Payloads sind Befehle für das Ausführen des Exploits auf dem lokalen System, sobald der Zugriff gelungen ist. Das kann eine Dokumentation und eine Datenbank von Techniken beinhalten, um nach der Entdeckung der Schwachstelle einen funktionierenden Exploit zu entwickeln. Die Payload-Datenbank enthält Module, um Passwörter aus dem lokalen System zu extrahieren, weitere Software zu installieren oder die Hardware zu kontrollieren, wie es bereits existierende Tools (Back Orifice, BO2K) tun.
MIT METASPLOIT DAS NETZWERK ABSICHERN
Metasploit kann als Teil einer Schwachstellen-Management-Software verifizieren, dass Schwachstellen beseitigt wurden, zum Beispiel durch einen Patch, eine veränderte Konfiguration
Leider findet Metasploit so gut Sicherheitslücken, dass viele Cyber-Kriminelle es ebenfalls nutzen.
METASPLOIT
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS22
PCI DSS 3.0
oder Kontrollmechanismen. Ist zum Beispiel ein Patch noch nicht verfügbar und sichert das Deaktivieren einer Funktionen das Netzwerk ab, lässt sich Metasploit einsetzen, um sicherzustellen, ob diese Strategie funktioniert. Mit Metasploit können Sie außerdem überprüfen, ob der Exploit von den Security-Tools entdeckt wurde.
Ein weiterer Vorteil von Metasploit ist, dass es demonstriert, wie einfach es ist, in ein System einzudringen und es zu kompromittieren. Sie finden unter Umständen eine Remote-Schwachstelle auf einem Zielsystem. Mit Metasploit können Sie eine Payload konfigurieren, um eine Remote-Shell auf dem angegriffenen Host zu öffnen. Ein Cyber-Krimineller hat somit die Möglichkeit, Daten zu stehlen oder einen Keylogger zu installieren. Verwenden Sie Metasploit für automatische Penetrationstests, sparen Sie sich viel Arbeit und Zeit. So können Sie sich auf Bereiche konzentrieren, in denen tiefere Analysen notwendig sind.
Metasploit wird in Unternehmen oftmals verwendet, um die Entscheidungen beim Patch- und Schwachstellen-Management zu fällen.
Sobald ein Metasploit-Modul für eine bestimmte Security-Lücke erscheint, können Firmen den entsprechenden Patch mit höherer Priorität behandeln. Gerade in einer Zeit der sogenannten
Script Kiddies, die diese Systeme mit den gleichen Instrumenten angreifen können, ist das wichtig. Gibt es ein Metasploit-Modul für eine Security-Lücke, sollte der Patch dafür ganz oben auf der To-do-Liste des Unternehmens stehen.
GEGEN METASPLOIT VERTEIDIGEN
Wie bei jedem IT-Security-Tool gilt auch für Metasploit, dass sich damit Gutes wie auch Schlechtes anstellen lässt. Internetgauner können Metasploit einsetzen, um Exploits zu identifizieren und unautorisiert in Firmensysteme
Wie bei jedem IT-Security-Tool gilt auch für Metasploit, dass sich damit Gutes wie auch Schlechtes anstellen lässt.
METASPLOIT
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS23
PCI DSS 3.0
und -netzwerke einzudringen. Gegen Angriffe mit Metasploit verteidigen Sie sich am besten, indem Sie Standard-Security-Kontrollen einsetzen. Dazu gehören unter anderem das Einspielen von Patches, die Nutzung von Applikationen und Prozessen mit geringen Privilegien und die Begrenzung von Netzwerkzugriffen auf vertrauenswürdige Hosts.
Eine Übersicht mit Maßnahmen finden Sie auf den Websites des SANS-Instituts und des Open Web Application Security Projects (OWASP). Sie können einen Metasploit-Angriff im Netzwerk entdecken, solange die „Encode“-Option nicht verwendet wurde. Das verhindert, dass Netzwerkverkehr von einem Intrusion Detection
System (IDS) erkannt wird. Auch sollten Sie bedenken, dass sich Metasploit möglicherweise identifizieren lässt, wenn Sie nach Anomalien im Netzwerk schauen. Außerdem können Sie ein Host-basiertes Erkennungs-Tool einsetzen, um zu erkennen, ob ausführbare Metasploit-Dateien auf dem System laufen.
Sie können mit Metasploit ein Netzwerk schützen oder es angreifen. Natürlich lassen sich mit Metasploit Security-Lücken erkennen und entsprechende Verteidigungsmaßnahmen installieren. Doch Sie dürfen niemals vergessen, dass die Angreifer auf das gleiche Tool Zugriff haben und damit dieselben Security-Lücken identifizieren. –Nick Lewis
METASPLOIT
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS24
PCI DSS 3.0
Mit BeEF Mitarbeiter trainieren und sensibilisieren
Für Unternehmen wird es immer wichtiger, ihre Beschäftigten über die Gefahren bei der Nutzung eines Web-Browsers aufzuklären und zu schulen. Die Mitarbeiter sollten sich der Nutzungsrichtlinien und der Sicherheitsprozesse für den Internetzugang bewusst sein.
Aber wie kann ein Unternehmen herausfinden, ob die Anwender auch wirklich sicherheitsbewusst handeln? Eine Antwort darauf ist das Browser Exploitation Framework (BeEF), ein budgetschonendes Penetrationstest-Framework. BeEF ist kostenlos und hilft Firmen, Internetnutzer effizient für Sicherheitsfragen zu sensibilisieren und zu trainieren.
Das Tool steht auf der Website des BeEF-Projekts zum Herunterladen bereit oder ist schon in einer Distribution installiert. Mit BeEF können Sie „sicher“ Webbrowser-basierte Schwachstellen wie Cross-Site-Scripting (XSS) mit Client-seitigen Angriffsvektoren testen. Wenn ein Anwender einen von BeEF platzierten Link
anklickt, wird sein Browser zum BeEF-Server weitergeleitet. Das Tool kann Kommandos an den Browser ausgeben, beispielsweise Redirects, URLs tauschen oder Dialogboxen erzeugen. Das Pen-Testing-Tool hat die Fähigkeit, Malware
auf der IP-Adresse eines anvisierten Browsers laufen zu lassen und ihn als Startpunkt für das Infiltrieren anderer Computer im Netzwerk zu nutzen – also die Schadsoftware zu verteilen.
BeEF ist auf Betriebssystemen wie Kali Linux (früher Backtrack) vorinstalliert. Der BeEF-Server zeigt dem Tester eine Unzahl an Funktionen. So gibt es einen Report für alle laufenden Plug-ins
BROWSER EXPLOITATION FRAMEWORK
Mit BeEF können Sie „sicher“ Webbrowser-basierte Schwachstellen mit Client-seitigen Angriffsvektoren testen.
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS25
PCI DSS 3.0
auf dem Browser und für bis zu 14 verschiedene Browser-Komponenten und deren Status.
Basierend auf dieser Information kann BeEF den Typ der Attacken empfehlen, die gegen den Browser gestartet werden können.
Die Berichte des Tools sind überraschend detailliert und bieten ausführliche Daten zum anvisierten Browser.
Von Clippy, der „hilfreichen“ Büroklammer aus Microsoft Office, bis zu einer gefälschten Benachrichtigungsleiste: BeEF zeigt Hunderte von möglichen Exploits, um einen Browser zu kompromittieren. Das sind Dinge, derer sich Ihre Mitarbeiter bewusst sein sollten, wenn sie im Unternehmensnetzwerk durchs Internet surfen. –Keith Barker
BeEF zeigt Hunderte von möglichen Exploits, um einen Browser zu kompromittieren.
BROWSER EXPLOITATION FRAMEWORK
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS26
PCI DSS 3.0
John the Ripper, Cisco Torch und L0phtcrack
John the Ripper ist ein Tool für Penetrationstests, das per Standard in der speziellen Security-Distribution Kali Linux (früher BackTrack) installiert ist. Es gibt sogar eine dedizierte Sektion mit Namen „Hacking Exposed“. Mit John the Ripper können Sie testen, ob Netzwerkgeräte für Brute-Force-Angriffe anfällig sind. Bestimmte Cisco-IOS-Geräte haben beispielsweise dieses Problem. Eine Software, die es zu einer gewissen Berühmtheit in diesem Zusammenhang geschafft hat, ist das kostenlose Cisco Torch.
Ihre Firma verwendet keine Geräte mit Cisco IOS? Bei vielen schnell wachsenden Unternehmen geht die Übersicht bezüglich
der Netzwerkgeräte im Chaos der Netzwerk-architekturplanung oft komplett verloren. Nur um sicherzugehen, sollten Sie die Kommandozeile bemühen und folgenden Befehl ausführen:
./cisco-torch.pl -A x.x.x.x/x
Mit diesem Befehl können Sie einen kompletten Scan nach Cisco-Geräten in Ihrem Netzwerk durchführen. Die Platzhalter x stehen für die IP-Adresse und die dazugehörige Subnetzmaske. Sollten anfällige Cisco-Geräte auftauchen, können Sie diese recht einfach updaten oder offline nehmen.
Wenn der Scan mittels Cisco Torch zu keinem Ergebnis führt, dann haben Sie mit ziemlicher Sicherheit keine gefährdeten Cisco-Geräte im Netzwerk des Unternehmens. An dieser Stelle können Sie dann mit Tests beginnen, ob andere Knotenpunkte anfällig für Brute-Force-Angriffe sind. John the Ripper prüft die Betriebssysteme
WEITERE TOOLS
Mit John the Ripper können Sie testen, ob Netzwerkgeräte für Brute-Force-Angriffe anfällig sind.
WEITERE TOOLS
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS27
PCI DSS 3.0
nicht nur auf Brute-Force-Anfälligkeit. Es bietet auch eine Vielfalt an Passwort-Cracking-Techniken für Anwenderkonten des jeweiligen Betriebssystems. John the Ripper lässt sich scripten und von außerhalb ausführen.
Der Autor bevorzugt allerdings den Einsatz auf einem lokalen System. Sie benötigen root-Privilegien, weil Sie Zugriff auf die Shadow-Dateien der jeweiligen Linux-Nodes brauchen. Sobald das gewährleistet ist, führen Sie nachfolgenden Befehl aus:
john Passwort
Der Parameter Passwort ist dabei der Platzhalter für den Namen der entsprechenden
Passwortdatei. Ob John the Ripper nur wenige Sekunden oder einige Tage läuft, hängt von der Komplexität jedes einzelnen Passworts ab. Je länger John the Ripper für das Knacken des jeweiligen Passworts braucht, desto weniger anfälliger ist dieses für Brute-Force-Angriffe.
Setzt Ihre Firma wie viele andere in erster Linie auf Windows, empfehlen wir die Trial-Version von L0phtcrack. Das Tool bringt eine sehr intuitive grafische Oberfläche mit und knackt Windows-Passwörter in der Regel nach wenigen Sekunden. Sie können eine 15-tägige Testversion der Software von der L0phtcrack-Website herunterladen. Damit lassen sich Rechner auch remote aufbrechen, auf denen Windows 7 oder ältere Versionen laufen. –Brad Casey
WEITERE TOOLS
EDITORIAL
DATENSCHUTZ-VORGABEN
PEN-TESTS: ZIELE
PCI DSS 3.0: ANFORDERUNGEN
SOCIAL ENGINEERING
AUTOMATISIERTE PEN-TESTS
DURCHFÜHREN
AUTOMATISIERTE PEN-TESTS
RICHTIG ANGEHEN
METASPLOIT NUTZEN
TRAINING FÜR MITARBEITER
PEN-TEST TOOLS
ÜBER DIE AUTOREN
RATGEBER PENETRATIONSTESTS28
ÜBER DIE AUTOREN
OLIVER SCHONSCHEK ist IT-Fachjournalist und IT-Analyst in Bad Ems und Autor zahlreicher Publikationen über Daten-schutz und IT-Sicherheit.
JOHN OVERBAUGH ist Managing Director Security Services bei Caliber Security Partners.
MIKE CHAPPLE ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der NSA und der U.S. Air Force im Bereich Informationssicherheit geforscht.
DAVE SHACKLEFORD ist Eigentümer und leitender Consultant von Voodoo Security. Er ist Berater für die Bereiche Security, Compliance und Netzwerkarchitektur.
KEVIN BEAVER arbeitet als Informationssicherheits-Berater, Gutachter und Referent zum Thema für Principle Logic LLC.
NICK LEWIS ist Sicherheitsbeauftragter der Saint Louis Univer-sity. Davor war er unter anderem für Internet2 tätig.
KEITH BARKER ist Trainer bei CBT Nuggets, ist doppelter CCIE und hat zahlreiche Bücher und Artikel für Cisco Press verfasst.
BRAD CASEY ist ein Spezialist in den Bereichen Pene-tration Testing, Public-Key-Infrastruktur, VoIP und Netzwerk-Paket-Analyse.
Ratgeber Penetrationstests
ist eine Publikation von SearchSecurity.de
Michael Eckert | Editorial Director
Wolfgang Dietl | Online Editor
Ulrike Riess | Online Editor
Tobias Wendehost | Online Editor
Becky Wrigley | Assistant Editor
Bill Crowley | Herausgeber [email protected]
TechTarget 275 Grove Street, Newton, MA 02466
www.techtarget.com
© 2015 TechTarget Inc. Kein Teil dieser Veröffentlichung darf ohne vorherige schriftliche Genehmigung des Verlages in irgendeiner Form oder auf irgendeine Weise weitergegeben oder reproduziert werden. Nachdrucke von TechTarget-Pub-likationen sind verfügbar über The YGS Group.
Über TechTarget: TechTarget publiziert Informationen für Profis im Bereich In-formationstechnologie. Mehr als 100 Themen-Websites ermöglichen schnellen Zugriff auf ein reichhaltiges Angebot an Nachrichten, Ratgebern und Analysen über die Technologien, Produkte und Prozesse, die entscheidend sind für beruflichen Erfolg. Unsere Live- und virtuellen Veranstaltungen vermitteln direkten Zugang zu den Einschätzungen und Ratschlägen unabhängiger Experten. IT Knowledge Exchange, unsere soziale Community, bietet die Möglichkeit, um Rat zu fragen und sich mit Kollegen und Experten über Lösungen auszutauschen.
