Penetrationstests

In Zeiten, in denen Cybercrime ein lukratives Geschäft und keine Spielerei von Jugendlichen mehr ist, wird jedes Unternehmen zum potentiellen Ziel des organisierten Verbrechens. Durch die globale Vernetzung wird es zunehmend einfacher, an sensible Daten zu gelangen. Unzählige Webshops für die verschiedensten Waren beherbergen im Hintergrund Datenbanken, die die sensiblen Kundendaten, wie Bankverbindung, Kreditkartennummern, Email Adressen und Passwörter speichern. Oft ist es einem Angreifer möglich, durch den Webserver zur Datenbank zu gelangen und die genannten Daten abzurufen. Dies wird durch unzureichende Validierung des User Inputs ermöglicht. Besonders auf komplexen Webseiten ist die Wahrscheinlichkeit hoch, dass irgendwo ein Parameter für Cross-Site Scripting oder SQL Injection angreifbar ist.

Hinzu kommt, dass jede Login Funktion einer Webseite eine potentielle Angriffsfläche für Brute Force Angriffe bietet. Dabei werden Username-Passwort Kombinationen solange ausprobiert, bis eine erfolgreiche Anmeldung gelingt. In einem authentisierten Kontext lassen sich dann evtl. weitere Angriffe durchführen, die im ‚besten‘ Falle zu einer erfolgreichen Kompromittierung der gesamten Applikation führt.

Das Motiv professioneller Cracker ist immer gleich: Möglichst viele User Accounts und/oder Kreditkartennummern stehlen und diese, solange die Ware noch heiß ist, auf dem Schwarzmarkt verkaufen.

Ein anderes Konzept der illegalen Geldgewinnung beinhaltet die Vermietung von Botnetzen. Hier werden Botnetze komplett oder teilweise für einen beschränkten Zeitraum für diverse Dienste vermietet. Meistens handelt es sich dabei um DDoS Angriffe. Diese dienen dazu, die Internetpräsenz eines Unternehmens lahmzulegen. Das führt besonders bei Webshops zu enormen finanziellen Verlusten.

Damit Botnetze existieren können, sind viele infizierte Desktop Workstations notwendig. Eine Möglichkeit, Desktops zu infizieren, ist die Platzierung von Malware auf Webseiten, so dass diese von Clients als Drive-by Downloads unbeabsichtigt eingefangen werden. Die kriminelle Intention dahinter ist also, möglichst viele Desktop Workstations zu infizieren, damit diese Teil des Botnetzes werden.

Laut Symantec belaufen sich die Zahlen durch bösartige Software (2012) allein in Deutschland auf 24 Milliarden Euro. Weltweit sind es sogar 284 Milliarden Euro.

Penetrationstest-Ablauf

Wie kann ein Penetrationstest helfen?

Wenn man die eigene Infrastruktur tagtäglich vor Augen hat und damit arbeitet, kann es schnell passieren, dass man betriebsblind wird. Dadurch schwindet auch die notwendige Eigenkritik. Potentiell laxe Sicherheitsrichtlinien werden als ‚normal‘ hingenommen und nicht verschärft, bzw dem Wandel der Technik angepasst. So wird gerne mal ein Passwort für viele verschiedene Authentifizierungen genutzt. Sensible Daten liegen unverschlüsselt auf diversen Servern. Passwörter werden mit veralteten Verschlüsselungsmethoden gespeichert, usw.
Um solche Probleme zu identifizieren und letzten Endes auch zu beheben, benötigt es einen Impuls von außen – einen Penetrationstest. Dieser kann innerhalb eines Netzwerkes stattfinden, um die Infrastruktur zu testen oder aber extern, um die öffentlichen Schnittstellen, wie Firewalls, Webserver und Accessportale zu überprüfen. Durch den neutralen und geschulten Blick des Dienstleisters können dadurch schnell eventuelle Fehlkonfigurationen aufgedeckt und behoben werden.

Die Leistungen der
BRISTOL GROUP

Penetrationstest
  • Prüfung aller Ports und Protokolle auf erreichbare Dienste
  • Untersuchung gefundener Dienste auf verwendete Software und deren Versionen
  • OS/Firewall Fingerprinting
  • Überprüfung von Webservices auf:
    • Injections (SQL, LDAP, MX, xpath…)
    • Cross-Site Scripting (XSS)
    • Cross-Site Request Forgery (XSRF)
    • Verschlüsselung (SSL)
    • Brute-Force (Logins, Verzeichnisse, Dateien…)
  • Brute-Force Angriffe auch bei nicht-Webservices
  • Überprüfung von Diensten auf Angreifbarkeit durch gängige Exploits
  • Erstellung eines ausführlichen Reports
  • Risikobewertung der einzelnen Hosts
  • Handlungsempfehlungen für gefundene Mängel
.