Pentest: Darauf kommt es an beim Hacking der eigenen Systeme

LOG4J wird IT-Sicherheitsexperten noch länger beschäftigen. Unterstützung versprechen Anbieter von Penetrationstest. Ein Blick hinter die Kulissen der Pentester zeigt ihre Arbeitsweise und Möglichkeiten. Der Überblick über die verschiedenen Formen der Penetrationstests zeigt auch häufig gefundene Schwachstellen auf.

Die Attacke funktioniert recht einfach: Ein Angreifer schickt lediglich eine präparierte Anfrage an eine Java-Anwendung, wie sie auch auf vielen Webservern zu finden ist. Diese wird im Hintergrund protokolliert und ausgewertet. Dabei wird ein vom Angreifer manipuliertes externes System kontaktiert und dessen Befehle ausgeführt. Schon ist der Täter auf dem System und kann sich dort austoben.

Diese LOG4J genannte Schwachstelle hält seit einigen Wochen viele Administratoren in Atem. Das Problem besteht häufig darin, eigene verwundbare Server und Web-Anwendungen zu finden, welchedie entsprechende Software-Bibliothek installiert haben. Hier kann externe Unterstützung hilfreich sein. Unter anderem für das Aufspüren solcher Schwachstellen sind Pentester Spezialisten.

Sie simulieren mit sogenannten Penetrationstests das Verhalten von Angreifern. Viele Sicherheitsdienstleister bieten Pentests an, einer davon ist die TÜV Informationstechnik (TÜViT), eine Tochtergesellschaft der TÜV NORD Group. „Wir tun so, als wärenwir ein Angreifer und nutzen die Hacking-Tools, die Angreifer auch einsetzen“, erklärt Timo Müller, Pentest-Experte bei TÜViT, diesen Ansatz. „Anschließend analysieren wir die Resultate und geben dem Kunden Hinweise, wie er die gefundenen Schwachstellen schließen kann“, so Müller weiter.

 

Varianten des Pentestings: automatisierter Scan bis Social Engineering

Wie dabei vorgegangen wird, ist je nach Anbieter unterschiedlich. „Bei uns hat jeder Pentester seine eigene Testmaschine, darauf sind unter anderem Hacking-Tools und selbst entwickelte Programme installiert. Damit gehen wir zum Beispiel ins Unternehmen, schließen das Gerät ans Netzwerk an und starten diverse Scans“, erläutert der Experte eine typische Variante des Pentestings. Er hebt hervor, dass sich sein Team nicht nur auf automatisierte Tools verlässt. „Eine manuelle Analyse ist unverzichtbar, dabei schauen wir beispielsweise auch, ob man noch mit anderen Tricks auf die Systeme kommt“, sagt Müller, der an der Uni Bochum IT-Security studiert hat und seit sieben Jahren Pentesting betreibt. Der Testumfang hängt davon ab, was der Kunde beauftragt. Das wird in Vorgesprächen festgelegt, ebenso wie eventuelle Einschränkungen und sonstige Rahmenbedingungen. „Manchmal prüfen wir auch Sicherheitskonfigurationen und somit die Härtung eines Systems, das sind dann sogenannte White-Box-Tests“, beschreibt Müller eine andere Variante. Hierbei werde geprüft, ob die getroffenen Sicherheitsmaßnahmen „wasserdicht“ sind. „Dazu gehört auch die Simulation eines Innentäters, um zu schauen, ob er beispielsweise seine Rechte ausweiten kann und somit an Daten kommt, welche nicht für ihn bestimmt sind.“, beschreibt er den Vorgang.

Eine weitere Form von Penetrationstest besteht im Social Engineering, etwa mit einer simulierten Phishing-Attacke. Schließlich starten die meisten Angriffe mit einer einfachen E-Mail. Müller schildert an einem Beispiel, wie ein solcher Pentest ablaufen kann: „Wir gestalten praktisch einen kompletten Phishing-Angriff, dazu entwerfen wir etwa einen Weihnachtsgutschein, mit dem wir versuchen, die Mitarbeiter und Mitarbeiterinnen auf eine externe Webseite zu locken. Dort haben wir ein manipuliertes Login-Formular hinterlegt, mit dem wir versuchen, Zugangsdaten zu bekommen“. Häufig erhalte sein Team vorab auch eine Anzahl E-Mail-Adressen mit Aufgaben- oder Abteilungszugehörigkeit, dann könnten die Angriffe zielgerichteter gestaltet werden, etwa mit gefälschten Bewerbungen in Form gefährlicher PDF-Dateien an die Personalabteilung. „Wir machen aber immer anonymisierte Auswertungen, alles andere wäre mit Betriebsräten nicht zu machen“, schränkt er ein.

 

Häufig zu spät –  Experte rät zu regelmäßigen Penetrationstests

Oftmals zögern Unternehmen die Beauftragung von Pentests zu lange hinaus. Doch Müller warnt: „Man sollte so etwas nicht erst machen, wenn eine Schwachstelle bekannt wurde oder ein Angriff vorliegt“, denn dann ist es oft zu spät. Stattdessen empfiehlt er „eine proaktive regelmäßige Durchführung“, etwa nach Updates von Systemen oder Anwendungen. Denn daraus ergäben sich in der Regel auch neue Angriffsszenarien. „Viele Kunden nehmen daher alle ein bis zwei Jahre oder nach Aktualisierungen von Anwendungen Pentests vor“.

Wiederholt gefundene Schwachstellen bestätigen die Empfehlungen der Pentester. „Wir finden auf Servern immer wieder fehlende wichtige Updates oder Standard-Benutzerkonten mit Standard-Passwörtern. Bei Web-Anwendung sind es hingegen Injection–Schwachstellen, über die sich Schadcode einbringen lässt“, fasst Müller typische Probleme zusammen. Auch im Klartext gespeicherte Passwörter gehörten immer wieder zu den Resultaten. Manche Dinge ändern sich scheinbar nie.

Informationen zu organisatorischen Aspekten sowie Entscheidungskriterien für die Auswahl des passenden Angebots finden Sie in einem weiteren Beitrag zum Thema. 

Autor: Uwe Sievers