> Pentest > Exploitation vertical divider

Phase 3 - Exploitation: Verifizieren von Angriffsmöglichkeiten

Exploitation In der dritten Phase, Exploitation, versuchen die Pentester gefundene Schwachstellen gezielt auszunutzen. Dafür werden Exploits entwickelt, mit denen etwa sensitive Informationen ausgelesen werden können oder welche es den Pentestern ermöglichen, Systeme zu kompromittieren und sich auf diesen zu manifestieren. Ist dies gelungen, so kann von dort aus häufig in weitere Systeme eingedrungen werden, da die Pentester nun Zugriff auf weitere mögliche Angriffsziele haben, die vorher noch nicht erreichbar waren. Über diese neuen, unbekannten Systeme können dann wieder mittels Reconnaissance und Enumeration Informationen beschafft werden, um auch diese Systeme weiter angreifen zu können.

Eigene Entwicklungen

Webserver: SQL Injection, Session Hijacking, Directory Traversal, Cross-Site-Scripting (XSS), Code Injection Exploits für die identifizierten Schwachstellen werden häufig von RedTeam Pentesting selbst entwickelt. Dies unterscheidet einen professionellen Penetrationstest von oft angebotenen automatisierten Sicherheits-Scans. Bei individueller Hard- und Software ist diese Vorgehensweise unumgänglich, da nur so praxisrelevante Ergebnisse erzielt werden. Die Penetrationstester gehen vor wie ein ernstzunehmender Angreifer. Ein Industriespion wird auch entsprechend viel Zeit und Aufwand investieren, um seinem Ziel näher zu kommen. Bei diversen Penetrationstests hat sich gezeigt, dass gerade von individuellen Schwachstellen, für die keine öffentlichen Exploits bekannt sind, die größte Gefahr für Unternehmen ausgeht.

Network: Firewall Traversal, Man-In-The-Middle, Spoofing, WLAN, ARP Poisoning

Angriff ist die beste Verteidigung

Im Rahmen von Penetrationstests werden verschiedene Angriffstechniken angewendet. Während des Penetrationstests wählen die Tester die geeigneten Angriffsmethoden aus, um eine vermutete Schwachstelle zu überprüfen. Die auf dieser Seite abgebildeten Grafiken zeigen exemplarisch einige Angriffsziele. Für jedes Ziel sind verschiedene mögliche Angriffsmethoden angegeben. Dies ist natürlich keine vollständige Auflistung, sondern soll nur einen Auszug von Möglichkeiten zeigen. Insgesamt gibt es eine sehr große Anzahl von möglichen Angriffszielen und Angriffstechniken. Durch die ständige Veränderung und Weiterentwicklung der IT-Landschaft kommen außerdem regelmäßig in kurzen Zeitabständen neue Angriffstechniken hinzu. Gute Penetrationstester zeichnen sich dadurch aus, auf diese Entwicklungen zu reagieren und sich ständig auf dem aktuellen Stand der bekannten Techniken zu halten, um realistische Angriffe durchführen zu können.

Welche Daten und Systeme besonders kritisch sind und auf denen darum der Fokus im Penetrationstest liegt, ist von Kunde zu Kunde unterschiedlich und wird darum individuell vor dem Test festgelegt.

Bei einem Netzwerktest kann das Ziel des Angriffs zum Beispiel das Überwinden von Netzwerkgrenzen sein, um mit Servern und anderen Netzwerkgeräten in sonst nicht zugänglichen Netzsegmenten kommunizieren zu können. Diese können entsprechend kritische Daten des Unternehmens beinhalten oder für den täglichen Betrieb kritisch sein. Um dieses Ziel zu erreichen kann etwa versucht werden in WLANs einzudringen, Firewalls zu umgehen oder Datenkommunikation über den angreifenden Rechner umzuleiten.

In einem Webapplikationstest eines Online-Shops kann das Ziel wiederum sein, die Datenbank mit den Produkt- oder auch Kundendaten auszulesen oder sogar zu manipulieren. Im Falle der Kundendaten sind häufig auch Bezahldaten betroffen, welche besonders schützenswert sind.

Durch detaillierte Dokumentation über die Herangehensweise zum Identifizieren und Ausnutzen der identifizierten Schwachstellen stellt RedTeam Pentesting sicher, dass Kunden im Anschluss an den Penetrationstest genügend Informationen zur Verfügung haben, um diese zu beheben und zukünftig ähnliche Schwachstellen selbst zu identifizieren beziehungsweise zu vermeiden und zu beheben.

Services: Buffer Overflows, Format Strings, DoS, Authentication Bypass, Covert Channels

Verantwortungsvolles Vorgehen

Wir haben wiederholt sehr positive Erfahrungen mit den Dienstleistungen von RedTeam machen dürfen. Die gewonnenen Erkenntnisse tragen wesentlich zum Fortschritt unseres Projekts bei. RedTeam beweist sich durch seinen hervorragenden Dienstleistungscharakter, was auf dem deutschen Markt keine Selbstverständlichkeit ist. Uns gefiel außerdem der angenehme, lockere und kollegiale Umgang. Wir können daher RedTeam nur empfehlen.
IT-Architekt, Wissenschaftliches Rechenzentrum

Bei ihren Angriffen sind die Pentester stets darauf bedacht mit großer Vorsicht vorzugehen, um Beeinträchtigungen des normalen Produktivbetriebs zu vermeiden. Sollte es doch einmal zu einem Problem kommen, so wird durch vorher festgelegte Ansprechpartner und Notrufnummern eine schnelle und direkte Kommunikation gewährleistet. Mehr Informationen hierzu finden sich zusätzlich in der FAQ. Bei besonders kritischen Systemen erfolgen Angriffe erst nach Rücksprache mit dem Kunden, der das System dann zum Beispiel für die Dauer eines Angriffs unter besondere Beobachtung stellen kann. Nach bisheriger Erfahrung kommt es jedoch äußerst selten zu Systemabstürzen, die den Betrieb des Unternehmens stören. Diese Systeme sind meist bereits schon vor dem Pentest durch Abstürze auffällig geworden. Teilweise lässt sich dies darauf zurückführen, dass diese bereits in der Vergangenheit angegriffen wurden, ohne dass diese Vorkommnisse als Angriffe identifiziert wurden.

Social-Engineering

Eine spezielle Art von Angriff ist Social-Engineering. Als Erweiterung zu den Angriffen auf rein technischer Ebene wird hier versucht menschliche Schwächen auszunutzen. Dieser Ansatz ist überraschend effektiv, da der menschliche Faktor oft das schwächste Glied in der Sicherheitskette eines Unternehmens darstellt. Gerade bei hochkritischen Bereichen, welche technisch auf sehr hohem Niveau abgesichert sind, gewinnt dies große Bedeutung. Beim Social-Engineering versucht der Penetrationstester einerseits vertrauliche Informationen von Mitarbeitern zu bekommen, zu denen er sonst keinen direkten Zugang hätte, sowie andererseits diese dazu zu bringen, Aktionen zum Vorteil des Angreifers auszuführen. Um dies zu erreichen wird versucht das Vertrauen des Mitarbeiters durch Vorspiegelung falscher Tatsachen zu gewinnen, oft kombiniert mit dem gezielten Aufbau von Stress.

Im Rahmen von Penetrationstests ist eine Durchführung von Social-Engineering-Angriffen allerdings genau abzuwägen. Auch wenn die Erfolgsaussichten eines solchen Angriffs sehr groß sind, ist doch der Lerneffekt meist begrenzt auf die unmittelbare Umgebung des betroffenen Mitarbeiters. Nicht betroffene Mitarbeiter können sich in der Regel nicht in die Lage des erfolgreich angegriffenen versetzen. Aus der eigenen Perspektive erscheinen die Social-Engineering-Angriffe zu einfach, um erfolgreich zu sein. Die direkt betroffenen Mitarbeiter fühlen sich außerdem schnell von der Geschäftsleitung hintergangen. Dies kann so zu einer nachhaltigen Schädigung des Betriebsklimas führen. Aus diesem Grund führt RedTeam Pentesting Social-Engineering-Angriffe nur nach genauer Abwägung der Vor- und Nachteile eines solchen Angriffs durch. Dies entspricht auch der Empfehlung des Externer VerweisBundesamt für Sicherheit in der Informationstechnik (BSI).