Der Datenschutz Podcast

Podcast rund um das Thema Datenschutz und Privatsphäre

https://www.datenschutz-podcast.net

subscribe
share



 

episode 23: Pentesting


Teaser *** Links: lynx.at
Twitter
Deepsec Pentesting (Wikipedia) Trankskript: K: Herzlich willkommen zum Datenschutz Podcast. Heute hier mit René Pfeiffer.
R: Hallo.
K: Zum Thema Pentesting.
R: Ja, Pentesting, Wir werden halt gleich hören, was das ist und es kann auch spannend sein.
K: Ja, da hab ich von gehört! Wir haben uns gestern gerade tatsächlich mit mehreren anderen Menschen länger darüber unterhalten. Jemand, der jetzt gerade seine erste Stelle als Pentester angenommen hat – also Penetration Tests, für alle, denen das jetzt neu sein sollte. René, Du machst das quasi beruflich.
R: Ja, auch. Ich hab zum Glück nicht immer einen Job, wo man das selber macht den ganzen Tag, aber einen Teil von meinem Job ist halt Systemadministration, sich um Netzwerke und Computer kümmern. Und zusammen mit eiem Geschäftspartner mach ich sogenannte Penetration Tests. Das sind Tests, wo man die Sicherheit von einem System überprüft. Penetration Test kommt aus dem Englischen; “to penetrate” heißt, irgendwo eindringen. Und so klassische Tests sind: kann man irgendwo rein oder kann man etwas beeinträchtigen? Das ist so ganz grob die Vogelperspektive von dieser Tätigkeit.
K: Und “System” heißt jetzt nicht nur ein einzelner Rechner, sondern im Zweifelsfall auch eine ganze Firma oder ein ganzes Firmennetzwerk.
R: Genau. Ich hab jetzt absichtlich “System” gesagt, weil das kann sein: ein Rechner in einem Rechenzentrum, ein Rechner in einem Büro oder tausende oder sogar, wie Du sagst, Organisationen. Das heißt, da kommen dann noch die Netzwerke dazu. Dann kommen vielleicht sogar die Menschen dazu. Manchmal darf man auch Menschen testen, ob die auf irgendetwas reinfallen. Das ist selten, aber es geht. Dann testet man auch Menschen.
K: Also die USB Sticks auf dem Parkplatz.
R: Ja. Also USB Sticks verschenken oder sich verkleiden, im Extremfall eine Lieferung irgendwo unterbringen … Dass man einfach irgendwo reinkommt und schaut, was kann man von dort aus sehen.
T: Auf Twitter hab ich ja auch ein paar Bekannte und da ist auch einer dabei, der jetzt Pentesting macht. Der twittert dann manchmal auch ganz lustige Begebenheiten. Natürlich ohne konkreten Kundenbezug, aber halt so “es ist völlig egal, was auf dieser Zutrittskarte steht, Hauptsache die Hülle passt”.
R: Also wenn man es lange genug macht, kann man glaub ich auch Drehbücher schreiben.
K: Erzähl mal, wie ist so ein Pentest grundsätzlich aufgebaut?
R: Also grundsätzlich geht’s darum: Eindringen und schauen, was es alles gibt. Der erste Schritt ist immer herauszufinden, was hab ich eigentlich alles vor mir? Wie viele Systeme gibt’s? Was haben die alles? Welche Software? Wie sind sie erreichbar? … Einfach nur Informationen sammeln.
K: Das heißt, Du weißt, wenn Du irgendwo anfängst, wahrscheinlich noch gar nichts?
R: Das kommt drauf an. Es gibt das Ganze in sogenannten Whitebox und Blackbox Versionen. Die Blackbox Version heißt, man kriegt die Ziele und sonst keinerlei Hilfe.
K: Und Ziel ist im Zweifelsfall entweder eine IP-Adresse oder …
R: IP-Adresse oder eine Website oder irgendein Name oder irgendwas. Das ist dann die klassische Sicht, die ein Angreifer hätte, weil der kooperiert ja nicht in der ersten Phase. Und dann gibt es das Ganze als Whitebox Test, wo man, sobald man auf irgendetwas stößt, fragen kann: wo führt das hin, was ist daran angeschlossen, wer verwendet das? Und da kriegt man in der Regel auch mehr raus. Es hängt jetzt davon ab, was der Kunde vorhat. Aber die erste Phase ist in beiden Fällen immer zu schauen, wie schaut das System aus und was gibt’s da alles, weil welbst wenn ich rückfragen darf, wer sagt mir, dass der Kunde das weiß? Vielleicht hat man irgendwas vergessen. Es ist immer eine Mischung, aber es gibt diese beiden Ansätze.
K: Das ist ja auch dieses klassische “wir haben da noch ein System laufen, keiner weiß mehr genau, was es macht, aber schön, dass Sie’s gefunden haben”.
R: Richtig, ja. Man macht dann auch ab und zu einen Abstecher in die Geschichte.
K: Was ist jetzt der häufigere Fall? Blackbox oder Whitebox?
R: Kann man schlecht sagen. Aber ich würde fast sagen, dass der Whitebox Fall häufiger ist. Manchmal geht es auch darum zu schauen, was kann ein Angreifer tun. Aber es geht auch um einen Test: ist alles richtig konfiguriert? Und da ist es besser, wenn man diesen Rückfragekanal hat, weil das Ganze dann zielgerichteter ist.
K: Hm, ja. Wie baust Du jetzt so einen Test auf? Was tust Du konkret?
R: Also, der Test beginnt, man hat eine Liste von Dingen, die man anschauen muss und die Dinge schaut man dann an; Anschauen im technischen Kontext heißt, man sendet Daten an die Systeme und schaut, wie sie reagieren und versucht herauszufinden, was die alles haben. Wenn man jetzt zum Beispiel an einen Webserver denkt, der kann ja viele Inhalte haben. Und man versucht möglichst komplett alle interessanten Inhalte zu finden. Und das ist der Knackpunkt: Was ist interessant? Interessant ist all das, was einem Angreifer hilft, entweder einen Angriff zu planen oder durchzuführen. Im Idealfall kriegt man Informationen, die auf eine Schwachstelle hindeuten, die dann einen Angriff zur Folge haben kann. Was viel häufiger passiert ist, und das passiert auch bei tatsächlichen Angriffen. Man darf sich das nicht so vorstellen, dass das alles in Sekunden geht, sondern es gibt Monate wenn nicht sogar Jahre Vorbereitung bei gezielten Attacken. Und diejenigen, die das dann machen, sammeln Monate und Tage Informationen, setzen die zusammen und schauen, wo der beste Weg ist. Das macht man zwar beim Penetration Test auch, hat aber immer die Limitierung der Zeit. Ich kann nicht drei Monate zuschauen, irgendwann muss der Bericht fertig sein, dazu muss man auch noch kommen. Das heißt, Zeit ist einer der Aspekte. Man versucht halt, möglichst komplett nach solchen Sachen, die dem Angreifer helfen und dann wechselt man schon in die zweite Phase. Wenn man erstmal eine Liste von Dingen hat, die vielversprechend sind, dann probiert man aus, ist diese Software wirklich verwundbar? Wie funkrioniert das? Kann ich das System in Probleme bringen? Kann ich irgendwas ausrichten? Und das ist schonmal der nächste Schritt wo schon manuelles Testen dabei ist, wo ich dann auch ausprobiere und schaue wie das System reagiert. ***
Wenn Du mich unterstützen möchtest:
-> zur Spendenseite

  • werde Supporter auf Steady
  • spende via Liberapay
  • spende Auphonic Stunden
  • spende via PayPal.me
  • spende in Bitcoin, wenn Du magst


share





 13 September 2018  n/a