1Penetrationstests – was ist das?

1.1Einführung

Penetrationstests können als legale und genehmigte Versuche definiert werden, Computersysteme aufzuspüren und anzugreifen, um die Systeme sicherer gestalten zu können. Zu diesem Vorgang gehört es, sowohl Schwachstellen auszukundschaften als auch erfolgreiche Angriffe als Belege für die Machbarkeit durchzuführen, um zu zeigen, dass diese Schwachstellen tatsächlich Schwachstellen sind. Am Ende von ordnungsgemäß abgelaufenen Penetrationstests stehen immer konkrete Empfehlungen, um die während des Tests aufgedeckten Probleme anzugehen und zu lösen. Insgesamt dient dieser Vorgang dazu, Computer und Netzwerke gegen zukünftige Angriffe abzusichern. Das Grundprinzip besteht darin, Sicherheitsprobleme durch die Anwendung derselben Werkzeuge und Techniken zu finden, die auch ein Angreifer benutzen würde, damit die entdeckten Schwachstellen behoben werden können, bevor ein echter Hacker sie ausnutzt.

Für Penetrationstests werden auch folgende Bezeichnungen verwendet:

•Penetration Testing, Pen Testing

•PT

•Hacking

•Ethisches Hacken

•White Hat Hacking

•Offensive Security

•Red Teaming

Nehmen wir uns einen Augenblick Zeit, um den Unterschied zwischen Penetrationstests und Schwachstellenanalysen klarzustellen. Viele Personen (und Hersteller!) in der Sicherheitsbranche verwenden diese beiden Begriffe fälschlicherweise synonym. Bei einer Schwachstellenanalyse jedoch werden Dienste und Systeme auf mögliche Sicherheitsprobleme untersucht, während bei einem Penetrationstest tatsächlich ein Angriff als Machbarkeitsstudie ausgeführt wird, um zu beweisen, dass eine Sicherheitslücke vorhanden ist. Penetrationstests gehen also einen Schritt weiter als Schwachstellenanalysen, indem sie die Tätigkeiten von Hackern simulieren und aktive Payloads übertragen. In diesem Buch decken wir auch die Schwachstellenanalyse als einen der Schritte ab, die zur vollständigen Ausführung eines Penetrationstests erforderlich sind.

1.2Vorbereitungen

Um das Gesamtbild zu verstehen, ist es wichtig, die verschiedenen Akteure und Positionen in der Welt des Hackings und der Penetrationstests zu kennen. Zu Anfang wollen wir das Bild mit groben Pinselstrichen malen. Bitte beachten Sie, dass es sich bei der folgenden Darstellung um eine starke Vereinfachung handelt. Sie hilft Ihnen jedoch, die Unterschiede zwischen den verschiedenen Personengruppen zu erkennen.

Es ist vielleicht hilfreich, einen Vergleich zur Welt von Star Wars zu ziehen, in der es zwei Seiten der »Macht« gibt, die Jedi und die Sith. Die Guten gegen die Bösen. Beide Seiten haben Zugang zu einer unglaublichen Macht. Die eine nutzt sie, um zu schützen und zu dienen, die andere dagegen für persönlichen Gewinn und Ausbeutung.

Das Erlernen von Hackertechniken ist so ähnlich wie das Erlernen der Macht (zumindest stelle ich mir das so vor). Je mehr Sie lernen, umso mehr Macht bekommen Sie. Irgendwann müssen Sie entscheiden, ob Sie diese Macht zum Guten oder zum Bösen einsetzen. Eines der Kinoplakate zu Star Wars Episode I zeigt Anakin als kleinen Jungen. Wenn Sie genau hinsehen, erkennen sie jedoch, dass sein Schatten die Umrisse von Darth Vader zeigt. Suchen Sie im Internet nach »Anakin Darth Vader shadow«, um sich das anzusehen. Es ist wichtig zu verstehen, warum dieses Plakat so wirkungsvoll ist. Anakin hatte nicht die Absicht, Darth Vader zu werden, aber es ist trotzdem passiert.

Wir können davon ausgehen, dass nur wenige Leute mit dem Hacken anfangen, weil sie Superschurken werden wollen. Das Problem ist jedoch, dass der Weg auf die dunkle Seite der Macht eine Einbahnstraße ist. Wenn Sie die Anerkennung Ihrer Kollegen genießen und einen lukrativen Posten in der Sicherheitsbranche bekleiden möchten, dann müssen Sie sich selbst dazu verpflichten, Ihre Macht nur zum Schützen und Dienen einzusetzen. Eine einzige Straftat reicht schon dafür aus, dass Sie sich einen neuen Beruf suchen müssen. Es herrscht zurzeit zwar ein Mangel an qualifizierten Sicherheitsexperten, aber trotzdem sind die Arbeitgeber nicht bereit, ein Risiko einzugehen, vor allem, wenn es sich um Straftaten im Zusammenhang mit Computern handelt. Wenn Sie einen IT-Job haben wollen, für den eine Sicherheitsüberprüfung erforderlich ist, gelten sogar noch strengere Regeln und Einschränkungen.

Im Computersicherheitsbereich werden oft die Begriffe »White Hat« und »Black Hat« verwendet, um zwischen den Jedi und den Sith zu unterscheiden. In diesem Buch verwende ich die Begriffe »White Hat«, »ethischer Hacker« und »Penetrationstester« für die Jedi oder die Guten, während ich die Sith als »Black Hats«, »Cracker« und »böswillige Angreifer« bezeichne.

Ethische Hacker führen viele der Tätigkeiten von böswilligen Angreifern aus und verwenden dazu auch oft die gleichen Werkzeuge. In fast allen Situationen muss ein ethischer Hacker versuchen, so zu denken und zu handeln wie ein Black-Hat-Hacker. Je genauer ein Penetrationstest einen echten Angriff simuliert, umso mehr Wert bietet er für den Kunden, der dafür bezahlt.

Beachten Sie aber, dass ich gesagt habe »in fast allen Situationen«. Auch wenn ein White-Hat-Hacker die gleichen Handlungen mit den gleichen Werkzeugen ausführt, besteht doch ein himmelweiter Unterschied zwischen den beiden Seiten. Letzten Endes lässt sich dieser Unterschied auf die drei Hauptaspekte Autorisierung, Motivation und Absicht zurückführen. Das sind nicht alle Unterschiede, aber sie helfen zu bestimmen, ob eine Vorgehensweise ethisch ist oder nicht.

Das erste und einfachste Merkmal, um zwischen White Hats und Black Hats zu unterscheiden, ist die Autorisierung, also das Einholen der Genehmigung vor der Durchführung irgendwelcher Tests oder Angriffe. Nachdem die Erlaubnis erteilt ist, müssen sich der Penetrationstester und das Unternehmen, das untersucht wird, auf den Umfang des Tests einigen. Dabei wird angegeben, welche Ressourcen und Systeme in den Test einbezogen werden, und ausdrücklich festgelegt, welche Ziele der Tester angreifen darf. Es ist wichtig, dass beide Seiten die Autorisierung und den Umfang des Penetrationstests genau verstehen. White Hats müssen stets die Bedingungen der Autorisierung und den festgelegten Umfang der Tests respektieren. Black Hats dagegen haben keinerlei Einschränkungen dieser Art.

Die zweite Möglichkeit, um zwischen einem ethischen und einem böswilligen Hacker zu unterscheiden, besteht darin, die Motivation zu untersuchen. Wenn der Angreifer als Motiv oder Antriebsfeder einen persönlichen Nutzen verfolgt, z. B. Profit zu machen, indem er durch Erpressung oder durch andere verbrecherische Maßnahmen Geld vom Opfer abschöpft, Rache zu üben, Ruhm zu erlangen usw., dann ist er als Black Hat zu betrachten. Hat ein Angreifer dagegen zuvor eine Genehmigung eingeholt und besteht sein Motiv darin, der Organisation zu helfen und ihre Sicherheitsvorkehrungen zu verbessern, dann haben wir es mit einem White Hat zu tun.

Wenn die Absicht darin besteht, einen realistischen Angriff zu simulieren, damit das Unternehmen seine Sicherheitsmaßnahmen durch frühzeitige Aufdeckung und Behebung von Schwachstellen verbessern kann, dann handelt es sich bei dem Angreifer um einen White Hat. Beachten Sie auch, wie wichtig es dabei ist, dass die Ergebnisse des Tests vertraulich behandelt werden. Ethische Hacker geben sensible Informationen, von denen sie während eines Penetrationstests Kenntnis erlangt haben, niemals an irgendjemand anderen weiter als den Kunden. Besteht die Absicht dagegen darin, sich Informationen zu verschaffen, um einen persönlichen Profit oder Vorteil zu gewinnen, dann ist der Hacker ein Black Hat.

Es ist auch wichtig, sich darüber im Klaren zu sein, dass Penetrationstests nicht alle auf die gleiche Weise oder mit demselben Ziel durchgeführt werden. White-Box-Tests, also sogenannte »offene« Tests, sind sehr gründlich und umfassend. Das Ziel besteht darin, das Zielsystem oder -netzwerk bis auf den letzten Winkel abzuklopfen. Solche Tests sind sehr...