Die Serie Cyber Security – Pen Testing beschäftigt sich mit dem Thema Ehtical Hacking, Penetration Testing (Pen Tests) und Cyber Security. Die Themen sind stark an den Stoff der Zertifizierungsprüfung Certified Ethical Hacker (CEH) angelehnt. Es wird spannend, garantiert.

Dieser Beitrag ist Teil 1 der Serie Cyber Security – Pen Testing.

Cyber Security / Pen Testing (Teil 1): Einführung

Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie

Cyber Security / Pen Testing (Teil 3): Steganographie

Cyber Security / Pen Testing (Teil 4): Zertifikate und PKI

Cyber Security – Pen Testing (Teil 5): Authentifizierung und Autorisierung

Vorwort

Dieser Teil 1 ist der Start in die Serie. Der Beitrag beinhaltet die Einführung in die Welt des Penetration Testing, den Grundlagen und Begrifflichkeiten rund ums Thema.

Was ist ein Ethical Hacker, was sind Pen Tests?

Ein Ethical Hacker unterscheidet sich von einem Hacker in der Vorgehensweise, dass sämtliche Schritte mit den Verantwortlichen der Opfer-Systeme abgesprochen sind. Es darf nichts ohne vorherige Freigabe und Absprache erfolgen. Das Ergebnis der Tests hilft den IT-Verantwortlichen mögliche Schwachstellen in ihren Systemen zu erkennen und auszumerzen. Dieses Vorgehen nennt man Penetration Testing, oder auch kurz Pentests und es handelt sich um eine Sicherheitsanalyse einer IT-Umgebung.

Der Pen-Tester kann als White-Hat eingestuft werden. Die Black-Hats sind die Bösen. Es gibt auch Gray-Hats.

Ein Ethical Hacker (Penetration Tester) benutzt Methoden und Tools um Schritt für Schritt dem Ziel-System näher zu kommen:

Footprinting

Bei der Erkundung geht es darum, so viele Informationen wie möglich über die Ziel-Systeme zu ergattern. Das Ziel wird noch nicht “berührt”.

Scanning

Die zuvor erkundeten Systeme werden näher betrachtet. Sie werden gescannt und beurteilt. Man komm mit dem Ziel in Kontakt. Als Beispiel wäre hier Nmap zu nennen: Port Scanning mit Nmap.

Übernahme

Das System wird kompromittiert. Es gehört nun nicht nur mehr dem Administrator des Systems, sondern auch dem Ethical Hacker. Ersterer weiß nur noch nichts davon.

Covering

Beim Covering geht es darum keine Spuren beim Opfer zu hinterlassen. Die Übernahme des Systems wird so gut wie möglich vertuscht.

CIA

Für die folgenden Teile der Serie werden drei Fachbegriffe von besonderer Bedeutung sein. Sie bilden die Kurzbezeichnung CIA für

• Vertraulichkeit (Confidentiality)
• Integrität (Integrity)
• Verfügbarkeit (Availability)

Vertraulichkeit

Ein Benutzer verfügt in der Regel über einen Benutzernamen und ein Kennwort. Werden diese Informationen gestohlen oder weitergegeben, so ist die Vertraulichkeit mit diesem Benutzerkonto nicht mehr gegeben. Der Begriff greift aber weiter: Die Vertraulichkeit der Weitergabe (mündlich, schriftlich) von Informationen gegenüber Dritte, welche eigentlich nicht dafür bestimmt sind, fällt unter anderem auch in diese Kategorie.

Am Router Maximum logon attempts gesetzt? Gegen Brute-Force Angriffe geschützt? Ich wette: In vielen Unternehmen sucht man danach vergebens. Apropos: Auch dafür gibts von mir bereits zwei Artikel zum Nachlesen: Verhindern von Login Attacks (Router/Switch) und Brute Force Angriffe mit Hydra.

Integrität

Hat die Daten jemand Unbefugter verändert? Es muss sichergestellt sein, dass die Daten (z.B. beim Transport über das Netzwerk) nicht verändert worden sind. Als Beispiel wäre Hashing zu nennen. Ein Hash-Wert kann als Referenz für die Integrität von Daten herangezogen werden. Hashes werden durch mathematische  One-Way Funktionen gebildet (ein One-Way Ticket: Von einem Hash-Wert kann nicht auf den eigentlichen Wert zurückgerechnet werden). Werden die Daten wie Dateien, E-Mails … verändert, so ändert sich auch der Hash-Wert. Vergleicht man beide Werte und treten Differenzen auf, so handelt es sich nicht mehr um die Original-Daten. Sie wurden verändert.

In diesem Beispiel wird der Hash-Wert des Skripts abgerufen. Danach wird “Hallo Welt” in das Skript eingefügt. Der Hash-Wert hat sich geändert.

Verfügbarkeit

Es werden Unmengen von Geld in die Hoch-Verfügbarkeit von Systemen ausgegeben. Man denke an Cluster Systeme und redundante Netzwerk Devices. Doch sind diese auch gegen Denial-of-Service Angriffe gewappnet?

Und ich denke da nicht nur an DOS Angriffe wie in meinem Artikel IIS vs. Apache: Denial-of-Service Angriff testen, sondern an die Reinigungskraft, die bei nicht verschlossener Türe zum Rechenzentrum mal auf die Schnelle ein paar Stromkabeln zieht und schon ist es ruhig im Raum wie noch noch nie. Ja ok, die Welt ist laut genug, aber keiner kann mehr arbeiten!

Das Security Triangle

Ich kann meine Eingangstüre mit 5 Balkenriegeln und einem Bewegungsmelder absichern. Ob ich dann noch Freude haben werde, wenn ich nachhause komme ist fraglich. Ob Benutzer noch Freude an der Arbeit am Computer haben, wenn sämtliche USB Anschlüsse gesperrt sind, sie sich mit Smartcard anmelden müssen, die Tür nur mit Code geöffnet werden kann … ist auch fraglich, aber in manchen Umgebungen sind diese Maßnahmen notwendig.

Genau da kommt das Security Triangle ins Spiel. Damit lässt sich das „Problem“ Sicherheit vs. Komfort leicht erklären – auch für Nicht IT-Pros.

Der Ball befindet sich in der Mitte. Bewege ich diesen in Richtung Komfort, dann verliere ich an Sicherheit oder Funktionalität, oder Beides. Beim Security Konzept des Unternehmens sollte darauf Rücksicht genommen werden. Ich bezeichne diese Tatsache gerne es als Naturgesetz, nämlich dann, wenn ich beratungsresistenten Personen gegenübersitze. Es gibt eine Menge dieses Typs Mensch, je höher der Rang im Unternehmen, desto höher der Prozentsatz. Manchmal kommt auch noch Lernresistenz dazu. Ich empfehle zu diesem Thema meinen Artikel Das Security Triangle: Komfort vs. Funktionalität vs. Sicherheit.

Types of Attacks

Wir unterscheiden unterschiedliche Typen des Angriffs. Drei davon erscheinen mir besonders wichtig:

Angriffe aufs Betriebssystem

Nicht umsonst werden nach der Installation von Windows gefühlte 4000 Updates installiert und man sitzt emotionslos vor dem Bildschirm und wartet bis der Balken sich endlich bewegt. Darunter fallen aber nicht nur Schwachstellen des Betriebssystems, sondern sicherheits-relevante (Miss-)Konfigurationen des Administrators, wie das Deaktivieren der Windows Firewall (leider aus Panik meist deshalb, weil das Know-How fehlt) oder das Belassen der Standardpasswörter a la password. Auch Standardeinstellungen der Active Directory Domänendienste gehören in diese Kategorie: Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern.

Angriffe auf Applikationen

Bedenken Sie: Jede 3rd Party Applikation birgt Ihre Risiken und Schwachstellen. Wir kommen aber schwer ohne sie aus. Trotzdem: Überlegen Sie es sich ganz genau, ob Google Chrome, Steam oder ein Buchhaltungs-Programm aus der Zeit um Windows 2000 wirklich am Domain-Controller installiert sein muss.

Angriffe aufgrund von Miss-Konfigurationen oder Nicht-Konfigurationen

Wenn der Administrator es so einfach wie möglich haben möchte, dann ist für die Sicherheit der Systeme viel Luft nach oben (siehe Security-Triangle!). Man denke wie oben beschrieben an die Versäumnisse der Konfiguration eines starken Kennworts, oder des Öffnen aller Ports der Firewall. Hier fällt mir ein Begriff ein: Quick and Dirty. Ein Beispiel ist die Nicht-Konfiguration von Browsern, welche das Auslesen von Browser-Passwörtern, wie in meinem Beitrag Windows 10: Browser Passwörter auslesen (Chrome, Edge …) beschrieben, möglich macht. Ein weiteres Beispiel ist fehlendes Know-How in Bezug auf die Grundlagen einer Berechtigungsstruktur. Die Anzahl der Administratoren mit mangelndem Wissen über NTFS- und Freigabe-Berechtigungen ist hoch  bis sehr hoch.

Weiter gehts mit Thema 2: Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie