Anforderungen an Penetrationstests nach ISO IEC 81001-5-1

Die IEC 81001-5-1 definiert Anforderungen an den Lebenszyklus für die Entwicklung und Wartung von Gesundheitsanwendungen und die Informationstechnik innerhalb von Medizingeräten. Um dies zu erreichen stellt die Norm Anforderungen an verschiedene Prozesse im Lebenszyklus eines Medizingeräts und gliedert sich primär in folgende Anforderungskategorien.

  • Quality management
  • Software Development Process
  • Software Maintenance Process
  • Security Risk Management Process
  • Software Configuration Management Process
  • Software problem resolution Process

Innerhalb vom Software Development Process gibt es die Anforderung an das Software System Testing, dass sich in Security Requirement Testing, Threat Mitigation Testing, Vulnerability Testing und Penetration Testing unterteilt.

Der Hersteller muss dabei einen Penetrationstest beauftragen, um Sicherheitsschwachstellen in der Software (Gesundheitsanwendung bzw Medizingerät) zu identifizieren. Die IEC 81001-5-1 fordert, dass im Penetrationstest versucht wird die Vertraulichkeit, Integrität und die Verfügbarkeit zu beeinträchtigen. Hierzu können auch mehrere Verteidigungslinien im Design umgangen werden müssen, indem der Einsatz von Tools sowie insbesondere manuelle Fähigkeiten des Penetrationstesters zum Einsatz kommt.

Hervorgehoben wird in der Norm dazu noch, dass die Penetrationstester unabhängig von der Entwicklung sein müssen. Da die wenigsten Medizingeräte-Hersteller über eine eigene Abteilung für Penetrationstests verfügt, muss in der Regel ein darauf spezialisiertes Unternehmen beauftragt werden.

binsec GmbH sucht Senior Penetration Tester

Die binsec GmbH sucht ab sofort Senior Penetration Tester, die etwas auf dem Kasten haben. Wer für verschiedene Kunden unterschiedliche Penetrationstests durchführen will oder es satt hat auf 12-Monats-Projekten bei Kunden zu sitzen. Hier findet man die Job-Beschreibung bzw Stellenanzeige:

https://www.binsec.com/de/jobs/senior-penetration-tester/

Die Stellenanzeige zum Senior Penetration Tester (m/w/d) entspricht ziemlich dem Arbeitsklima, Mindset und Humor des Teams. Wer sich also so gar nicht angesprochen fühlt, ist hier fehl am Platz. Wer Bock auf ein cooles Team hat, her mit der Bewerbung.

Penetrationstest nach MDR (Medizinprodukteverordnung)

Die MDR verlangt im Anhang I bei „Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme gehören, und Produkte in Form einer Software“ unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde – aus der Perspektive der IT-Sicherheit:

17.2 Bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software wird die Software entsprechend dem Stand der Technik entwickelt und hergestellt, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.

MDR, Anhang I – Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (Text von Bedeutung für den EWR. )

Im Medical Device Coordination Group Document „MDCG 2019-16 Guidance on Cybersecurity for medical devices“ findet sich nun als Konkretisierung der vorherigen Verifzierung- und Validierungsbestimmung Penetration Testing als eine Möglichkeit:

MDR Annex I Section 17.2 and IVDR Annex I Section 16.2 require for devices that incorporate software or for software that are devices in themselves, that the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of the development life cycle, risk management, including information security, verification and validation. The primary means of security verification and validation is testing. Methods can include security feature testing, fuzz testing, vulnerability scanning and penetration testing. Additional security testing can be one by using tools for secure code analysis and tools that scan for open source code and libraries used in the product, to identify components with known issues.

Medical Device Coordination Group Document, MDCG 2019-16

Penetrationstest-Anforderungen des Microsoft 365-App-Compliance-Programms

Die Teilnahme am Compliance-Programm für Microsoft 365-Zertifizierungs von Apps für Teams-Anwendungen, SharePoint-Apps/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchführung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung prüfen, die die Bereitstellung der App unterstützt, sowie alle zusätzlichen Umgebungen, die den Betrieb der App ermöglichen. Wenn Segmentierungskontrollen vorhanden sind, müssen diese ebenfalls getestet werden.

Die Pentest-Anforderungen von Microsoft sind:

  • Alle 12 Monate muss jährlich ein Applikations- und Infrastruktur-Pentest stattfinden.
  • Diese Tests müssen von einem renommierten unabhängigen Unternehmen durchgeführt werden.
  • Die Behebung identifizierter kritischer und hochriskanter Schwachstellen muss innerhalb eines Monats erfolgen nachdem Pentest-Bericht abgeschlossen ist.
  • Die gesamte externe Angriffsfläche (IP-Adressen, URLs, API-Endpunkte usw.) muss in den Umfang des Penetrationstests einbezogen und im Penetrationstestbericht dokumentiert werden.
  • Penetrationstests für Webanwendungen müssen alle typischen Schwachstellenklassen umfassen; zum Beispiel die aktuellsten OWASP Top 10 oder SANS Top 25 CWE.
  • Ein erneutes Testen identifizierter Schwachstellen durch das Penetrationstestunternehmen ist nicht erforderlich – Behebung und Selbstüberprüfung sind ausreichend, jedoch müssen während der Bewertung angemessene Nachweise für eine ausreichende Behebung erbracht werden. Das erneute Testen identifizierter Schwachstellen ist dennoch Best Practice in der Informationssicherheit.
  • Penetrationstestberichte werden am Ende überprüft, um sicherzustellen, dass es keine Schwachstellen gibt, die aus einer der folgenden Kategorien stammen:
    • Nicht unterstütztes Betriebssystem.
    • Standardmäßige, aufzählbare oder erratbare Administratorkonten.
    • SQL-Injection-Risiken
    • XSS
    • Sicherheitslücken bei Directory Traversal (Dateipfad).
    • Typische HTTP-Schwachstellen, z. B. Header-Response-Splitting, Request-Smuggling und Desync-Angriffe.
    • Offenlegung des Quellcodes (einschließlich LFI).
    • Jede kritische oder hoher Score nach CVSS-Richtlinien für das Patch-Management
    • Jede bedeutende technische Schwachstelle, die leicht ausgenutzt werden kann, um eine große Menge an EUII oder OUI zu kompromittieren.

Better Pentesting – No Bullshit

Eigentlich hätte es eher schon BETTER PENTESTING – NO BULLSHIT heißen müssen, wenn man die Werbe- und Verkaufsversprechen vieler Anbieter für Pentesting sieht. Etwas abgeschwächt ist es dann BETTER PENTESTING – NO NONSENSE als neuer Werbe-Slogan für Pentesting der binsec GmbH geworden.

Wie man auf den ganzen Bullshit – sorry Nonsense – vieler anderer Pentesting Dienstleister kommt? Hier ein kleiner Best of Nonsense:

  • Werbung: „Wir finden alle Schwachstellen!“
  • Aussage: „Wir führen mit Nessus Penetrationstest durch.“
  • Es wird ein Pentest verkauft und als Bericht erhält der Kunde eine Excel-Datei mit ca 10 Zeilen Inhalt.
  • Zertifizierungen unserer Pentest: CISSP, CEH…“
  • Man hat zwar kein Personal dafür, aber man stellt die Dienstleistung Penetration Testing auf die Webseite. Typisches IT-Systemhaus oder Datenschutz-Berater
  • Durchdringungstiefe des Penetrationstest: Schwachstellen-Scan
  • Man kommt im Google Ranking nicht hoch und kauft Pentest Backlinks bei zdnet ein ( ~1.000€) oder lässt in Foren „Pentest Frankfurt“ als Dienstleistung bewerben.
  • Man schaltet Google Werbung beim Schlagwort „blackhole pentest“.
  • Man verkauft die Tage einfach doppelt oder dreifach. So können Mitarbeiter auch 250% Zielerfüllung für den eigenen Bonus erreichen.

Enterprise Security Magazine Europe: binsec als einer der Top Cyber Security Solution Provider anerkannt

Heute habe ich eine sehr nette Mail von Gloria vom Enterprise Security Magazine Europe erhalten, in der mir mitgeteilt wird, dass binsec einer der Top Cyber Security Solution Provider ist.

Hi Patrick,

I am Gloria Lam with Enterprise Security Magazine Europe.

I am excited to inform you that our magazine’s evaluation panel has shortlisted binsec to feature as one of the ‘Top 10 Cyber Security Solution Providers in Europe 2022’ in our upcoming 2nd annual edition of ‘Cyber Security 2022’.

We want to feature binsec and bring out your specialization with a client-centric profile. binsec ‘s recognition feature published in this edition will depict your organization as a leader in the Cyber Security space and thus generate potential prospects while helping you convert existing prospects to clients. Our team has received positive feedback from our clients that the recognition profile has helped them convert their prospects to clients, and I’m sure you will see similar results.

At 3,000 Euros, you will receive a full-page exclusive interview-based profile. We will feature an HTML page of the profile on our website with a backlink to your website. Most importantly, you will acquire unlimited print and digital rights for the recognition profile, Logo, and Certificate of Honor. Upon your confirmation, we will schedule a telephonic interview with binsec ‘s CEO/Senior Management for us to move ahead.

Concerning the magazine, Enterprise Security Magazine Europe is a print and digital magazine with over 99,900 qualified subscribers across Europe. It provides a comprehensive platform for senior-level industry experts and decision-makers to share their insights following a unique learn-from-peers approach. This special edition will reach out to C-level decision-makers such as CISOs, Directors of Cyber Security, and Heads of Audit for Information security and privacy, to name a few, who are our subscriber base.

Patrick, we have worked with Industry leaders such as Ramy Houssaini (Chief Cyber & Technology Risk Officer & Group Privacy Officer at BNP Paribas); Steve Williamson (Audit Account Director, Information Security, and Data Privacy at GSK); Cedric Gourio (Group Chief Security Officer at Worldline), to name a few. Similarly, this year, we will have articles from such specialists. It will be an excellent platform for binsec to be highlighted along with them.

E-Mail von Gloria with Enterprise Security Magazine Europe, 19.10.2022

3.000 Euro, um als Top 10 gelistet zu werden und einen Backlink zu bekommen. Ist das nicht ein großartiges Angebot?

Lohnen sich VPN Dienste – Sinnvoll oder Abzocke?

Anbieter von VPN Diensten werben mit dem Versprechen das Surfen im Internet sicherer zu machen und die Privatsphäre zu schützen. Auch ermöglichen sie es Streaming Dienste aus anderen Ländern zu nutzen. Aber das ist nicht genug, sie sollen sogar bares Geld beim Online-Shopping sparen. Beeindruckend. Aber stimmt es – sind VPN Dienste sinnvoll? Ich wurde als Experte für eine Sendung im öffentlich-rechtlichen Fernsehen dazu angefragt, musste aber leider absagen. Ich möchte dennoch einmal meinen Blick auf die Werbeversprechen von VPN Anbietern wie NordVPN, ExpressVPN, ProtonVPN usw erläutern. Lohnen sich VPN – sind sie sinnvoll oder Abzocke?

Grundlagen IP-Adresse und VPN

Um zwei grundlegende IT-Begriffe kommen wir nicht herum. Was ist eine IP und was ist überhaupt ein VPN? Sehr vereinfacht ausgedrückt identifiziert eine IP-Adresse in unserem Beispiel einen Internet-Anschluss. Bei mir ist das zum Beispiel aktuell die 91.63.111.254 aus dem Netz der deutschen Telekom. Durch die technische Funktionsweise dahinter senden wir diese IP jedem automatisch mit, auch Netflix, Amazon, booking.com, Google und auch alle anderen Anbieter erhalten diese IP-Adresse, sobald wir Dienste im Internet nutzen oder eine Webseite aufrufen. Das hat sich nicht die Werbe-Industrie oder der Staat zur Überwachung einfallen lassen, das ist Stand der Technik seit einigen Jahrzehnten und wird sich auch nicht mehr ändern. Es ist ähnlich einer Absender-Adresse auf einem Brief. Ohne diese kann man keine Rückantwort zustellen.

Ein VPN ist ein virtuelles privates Netzwerk – privat im Sinne von nicht-öffentlich, nicht im Sinne von Privatsphäre – und dient dazu private Netze miteinander zu verbinden oder Zugriff auf ein privates Netz zu ermöglichen. Der darin übertragene Datenverkehr kann verschlüsselt übertragen werden. Firmen nutzen VPN-Lösungen um z.B. Mitarbeitern Zugriff von zuhause über das Internet in das (private) Firmen-Netzwerk zu ermöglichen. Ein VPN wird auch oft dazu eingesetzt mehrere (private, nicht-öffentliche) Firmen-Netzwerke miteinander zu verbinden. Mit dem Einsatz moderner Verschlüsselungstechniken innerhalb des VPN ist auch die Vertraulichkeit und Integrität der übertragenen Daten sichergestellt. Unternehmen nutzen dazu Lösungen von Hardware-Herstellern wie Cisco und Juniper – oder setzen kostenlose Open Source Software wie OpenVPN ein. Die am Anfang genannten VPN Anbieter fehlen nicht aus Versehen in dieser Auflistung.

Technisch gesehen kann die Nutzung eines VPN Anbieters dafür sorgen, dass die geöffnete Website oder der aufgerufene Streaming-Dienst die eigentliche IP-Adresse des eigenen Internetanschlusses nicht mehr „sieht“. Sondern als Gegenstelle bzw. Absender-IP-Adresse nur eine IP des VPN Anbieters erhält. Ohne das als Vor- oder Nachteil zu bewerten, bringt die Nutzung eines solchen VPN nun folgende technische Eigenschaften mit sich:

  • die übertragenen Daten werden verschlüsselt übertragen, zumindest vom eigenen Computer bis hin zum VPN Anbieter
  • die eigene IP wird an den aufgerufenen Dienst nicht weitergegeben

Aus den beiden Punkten, leiten die VPN Anbieter nun folgende Marketing-Versprechen ab.

Marketing-Versprechen #1: Sicheres Internet

Wie zuvor beschrieben verschlüsselt ein VPN Daten – und zwar vom verwendeten Endgerät bis hin zum Endpunkt des VPN Anbieter. Danach werden die Daten weiterhin zum eigentlichen verwendeten Dienst übertragen, wie es auch ohne VPN gewesen wäre.

Nutzt man sein Online Banking, googelt bei Google, kauft bei Amazon ein, surft bei der Tagesschau vorbei oder liest hier auf dem Blog mit, werden die Daten über das Internet bereits verschlüsselt – und damit sicher – übertragen. Der gesamte Übertragungsweg vom Browser bis hin zu den verwendeten Servern zur Bereitstellung des Internet-Angebots wird bereits verschlüsselt. Während früher der Einsatz von SSL/TLS (https:// oben in der Browserzeile) zur Verschlüsselung eher selten war, ist es heute Standard. Auch wenn es Ausnahmen gibt, verschlüsselt ein VPN Anbieter auch nicht den gesamten Datenverkehr, sondern nur bis zu seinem Endpunkt. Liegt der Endpunkt in Russland und das Ziel in den USA, wird auch der Datenverkehr unverschlüsselt über den Globus übertragen.

Der einzige Vorteil kommt ins Spiel, wenn schon die Nutzung des Endgeräts in einem öffentlichen und unsicheren WIFI bzw WLAN stattfindet. Surft man nun in einem öffentlichen Internet Cafe auf eine 0815 unsichere weil unverschlüsselte Webseite, dann können andere dort eventuell den Datenverkehr mitlesen. Man könnte aber hier auch einfach den kostenlosen Tor Browser nutzen, anstelle für einen VPN Dienst zu zahlen. Löst das Problem auch – sofern es wirklich ein „Problem“ in der Situation ist – und Tor kostet kein Geld.

Marketing-Versprechen #2: Privatsphäre gegen Tracking

Werbeanbieter nutzen Tracking über Cookies, IP-Adressen, Browser-Informationen usw zur Auslieferung personalisierter Werbung. Auch die IP-Adresse des verwendeten Internet-Anschlusses, aber nicht nur. In der Regel wechselt die genutzte IP auch am eigenen Anschluss regelmäßig, oder man geht vom heimischen WIFI mit dem Handy zum Zug (IP von Zuhause), nutzt dort mobile Daten (IP vom Handy-Provider), geht in das Firmen-Besucher-WLAN (IP von der Firma) usw.

Die Verwendung der IP zum Tracken eines Nutzers ist.. eine schlechte technische Idee. Es gibt Ausnahmefälle, bei denen das eine Rolle spielen kann. Nehmen wir einmal an man verfügt zuhause über eine Glasfaserleitung mit statischer IP (und zahlt die 400€ im Monat z.B. bei Colt) und möchte dann Video-Portale zur Anzeige sexueller Handlungen nutzen. Ja, da würde ich vielleicht auch einen VPN Anbieter nutzen. Es stellt sich zwar die Frage, in wie Weit es relevant ist, dass ein zyprisches Unternehmen zur Anzeige von Erwachsenenunterhaltung die eigenen sexuellen Vorlieben kennt, aber das würde mich auch stören. Nur werben die VPN Anbieter damit leider gar nicht: Privatsphäre bei xHamster – halten Sie geheim, dass Sie gerne Füße lecken. Verraten Sie es nur uns!

Marketing-Versprechen #3: Schutz vor Geo-Fencing

Es gibt einen begrenzten Pool an IP-Adressen und diese sind an Unternehmen oder Organisationen vergeben. Unternehmen haben einen Standort und sitzen damit in einem Land. Manchmal kann man die verwendeten IP-Adressen nicht nur dem Land, sondern auch einem groben Standort zurechnen. Manchmal, eher selten. Aktuell wird meiner IP-Adresse die Stadt München zugeordnet, das ist ca 400km entfernt von mir. Aber die Identifizierung des Lands funktioniert recht zuverlässig. Deutschland, passt.

So kann man als Netflix zum Beispiel dafür sorgen, dass deutsche Kunden keine us-amerikanischen Filme auf dem amerikanischen Netflix sehen können. Diese IP-Beschränkung kann man nun mit einem VPN Anbieter umgehen, früher nutzte man dafür kostenlose Proxy im Web. Man wählt einfach einen Endpunkt des VPN aus, der zum Beispiel in Amerika liegt. Schon denkt Netflix, dass man amerikanischer Kunde ist. Wenn man jetzt noch eine amerikanische Kreditkarte, Wohnsitz o.ä. angeben kann, dann wird das funktionieren. Oder man besorgt sich im Darknet geklaute Netflix-Zugangsdaten aus Amerika und nutzt einen VPN Anbieter, der irgendwo in der Welt sitzt, wo amerikanische 3-Letter-Agencies keinen Zugriff haben. Das ist keine Aufforderung dazu! Aber es ist ein Use Case. Nur wirbt hier auch kein VPN Anbieter damit: Nutzen Sie ihre geklauten US-Netflix-Zugangsdaten mit DubiusVPN – 100% FBI Schutz!

Marketing-Versprechen #4: billiger Einkaufen

Andere Länder, andere Preise. Flüge und Hotels können zum Beispiel in Griechenland vermarktet weniger kosten als in Deutschland. Das ist auch gar keine Abzocke, das ist ein realistisches Preismodell und hängt auch von den Kosten im jeweiligen Land und von den dortigen Steuersätzen und Gesetzen ab.

Soweit so gut, will man also einen Urlaub in Spanien über ein Buchungsportal in Griechenland buchen, wird dort ein anderer Preis als in Deutschland angezeigt werden – alleine wegen den Steuersätzen. Ein VPN kann dafür sorgen, dass man sich als griechischer Nutzer ausgeben und buchen kann. Eventuell hat man wieder das Problem mit der Angabe des Wohnsitzes und des Zahlungsmittels. Hat man Erfolg, hat man hat dann allerdings auch das Rechtsgeschäft in Griechenland getätigt und nicht in Deutschland. Sobald irgendetwas schief geht, wird es kompliziert. In Urlauben geht nie etwas schief. Flüge fallen nie aus. Hotelbewertungen sind nie Fake.

Für normales Online Shopping innerhalb Deutschlands spielt das ohnehin keine Rolle. Man kann potentiellen Kunden aus Kronberg am Taunus keinen höheren Preis anzeigen, als Kunden aus Frankfurt an der Oder. Das geht technisch nicht, dafür ist GEO-IP zu ungenau. Was allerdings technisch geht ist, Kunden mit einem iPhone einen höheren Preis anzuzeigen als Kunden mit einem Google Handy. Allerdings würde da auch kein VPN Anbieter helfen können.

Marketing-Versprechen #5: Schutz vor DNS Leaks

Okay, ich lasse die VPN Anbieter gewinnen: Wer im Internet Cafe sitzt (unsicheres WIFI) und die Webseite seiner Hausbank verschlüsselt aufruft, hat vorher etwas geleaked. Sein Browser fragt im Hintergrund über das DNS-Protokoll nach, welche IP-Adresse die Server der Hausbank haben. In dem Moment, wenn man die Adresse im Browser aufruft. Danach ist die gesamte Kommunikation sicher und verschlüsselt.. aber diese Information, dass man jetzt wissen wollte, welche IP-Adressen die Server der Hausbank für das Online-Banking nutzen – das kann jeder dort sehen. Also jeder, mit genug technischem Know-How und Interesse. Wenn das einen stört, könnte man einen VPN Anbieter nutzen – oder Online Banking einfach zuhause oder von der Firma aus machen.

Fazit

Als Abzocke würde ich die Dienstleistung der VPN Anbieter nicht bezeichnen, aber Ihre Marketing- bzw Werbe-Versprechungen finde ich irreführend. Die eigenen Darstellungen der Vorteile von VPN Diensten bezüglich Sicherheit und Privatsphäre sind nicht wirklich falsch, aber im Kontext gesehen oftmals ohne weiteren wirklichen Nutzen.

Für die meisten normalen Nutzer sind VPN Dienste unnötig, damit nicht sinnvoll und lohnen sich nicht. Wer wirklich Privatsphäre wünscht oder gar benötigt, sollte sich den Tor Browser ansehen.

Wer im Netz VPN Dienste nutzt um primär illegale Aktionen vorzubereiten oder durchzuführen (geklaute Netflix Accounts schauen, Script Kiddie Hacking) sollte sich auf die Pseudo-Anonymität der VPN Dienste nicht verlassen. Dafür gibt es zuverlässigere Wege der Verschleierung, auf die ich hier öffentlich nicht tiefer eingehen kann. Aber der böse Hacker (wenn er gut ist) nutzt auch keine VPN Dienste und der gute Hacker (im Sinne von Penetration Testing) hat es nicht nötig.

Penetrationstest in und aus Frankfurt am Main: Unternehmen binsec GmbH als Security Dienstleister und Pentest Anbieter

Unternehmen für Penetrationstest (Pentest) aus Frankfurt am Main: Die binsec GmbH hat ihren Stammsitz in Frankfurt am Main in der Mitte von Deutschland. 2013 aus der IT-Sicherheitsabteilung eines Finanzdienstleisters gegründet, gehört die binsec GmbH mittlerweile vollständig dem Management der Gesellschaft und bietet Penetration Testing an.

Während viele Pentest Anbieter mit der Durchführung von Pentest als Dienstleistung in Frankfurt am Main werben oder gar extra einen Briefkasten in Frankfurt anmieten, hat die binsec GmbH ihren Firmensitz schon seit der Gründung in der deutschen Finanzmetropole.

Die binsec GmbH führt als Pentest Dienstleister für Frankfurter Unternehmen aus dem Bereich Banking, Finance und Payment z.B. Penetrationstest für folgenden typische Anwendungen durch:

  • Pentest Mobile Banking App (Android und iOS)
  • Pentest Payment API (z.B. REST)
  • Pentest Online Banking
  • Pentest Depot Banking Portal
  • Credit Card (CC) Payment Gateway Penetrationstest
  • PCI DSS Compliance Penetration Testing
  • PCI DSS Compliance Segmentierungstest (Scpoe Segmentation Test)

Wie Kali Linux lernen?

Ich lese das im Netz oft: Ich arbeite mich in Kali Linux ein! Ich will Kali Linux lernen! Ich habe mir schon Kali installiert  – was jetzt? Aber was ist überhaupt Kali Linux? Wie lernt man Kali Linux? Und steht es wirklich zurecht so stark im Fokus?

Was ist Kali Linux?

Kali Linux ist eine freie Linux-Distribution. Es bezeichnet sich selbst als ein Betriebssystem, das auf verschiedene Aufgaben der Informationssicherheit ausgerichtet ist  – wie zum Beispiel die Durchführung von Penetrationstests, Sicherheitsforschung, Computer-Forensik und Reverse Engineering.

Worauf basiert Kali Linux?

Kali Linux ist erst einmal auch nur eine Linux-Distribution, die auf Debian GNU/Linux basiert, wie zum Beispiel Ubuntu Linux auch. Debian selbst ist ein freies Open Source Betriebssystem: Debian GNU/Linux basiert dabei auf den grundlegenden Systemwerkzeugen des GNU-Projekts sowie dem Linux-Kernel. Es existiert seit 1993 und wird von sehr vielen Linux-Anwendern als sehr stabiles und freies Server-Betriebssystem geschätzt, aber auch als Desktop-Betriebssystem eingesetzt. Es verfügt über ein außerordentlich ausgereiftes System zur Software-Verwaltung, und ist die Mutter – oder Vater – vieler anderer Linux-Distributionen wie auch Kali Linux. Kali Linux nutzt als Basis genau genommen Debian Testing. Es gibt Debian in stable – also dem stabilen und gut getesteten Zweig von Debian, der immer für ein paar Jahre mit Sicherheitsupdates, aber nicht mit neuen Funktionalitäten versorgt wird. Kali basiert auf Debian Testing, um regelmäßig neue Versionen von Software-Paketen zu erhalten. Der Herausgeber Offensive Security nutzt die große Datenbank an Software-Paketen von Debian Testing und ergänzt es mit anderen – freien Open Source Tools – zum Thema Hacking bzw. Penetration Testing. Im Prinzip ist also Kali Linux auch nur eine weitere Linux-Distribution, die auf Debian Testing aufsetzt und ein paar Änderungen oder Ergänzungen vornimmt.

Wie beliebt ist Kali Linux?

Gerade bei Hacking-Anfängern ist Kali Linux sehr beliebt. Primär weil es den Ruf als „die Hacker-Linux-Distribution“ hat und im Marketing von Offensive Security entsprechend positioniert wird. Aber vor allem muss man sich nicht aus verschiedenen Quellen diverse Hacking-Tools herunterladen und installieren, sondern kann direkt die installierten Hacking-Tools ausprobieren und damit experimentieren. Das ist der Vorteil von Kali Linux!

Wird Kali Linux im professionellen Penetration Testing eingesetzt?

Im professionellen Penetration Testing wird Kali Linux weniger eingesetzt. Zum einem benötigt man in der Regel gar nicht alle installierten Tools, dafür benötigt man eine stabile Linux-Distribution zum Penetration Testing, die nicht auf Debian Testing basiert. Es gibt durchaus Penetrationstester, die aufgrund von internen Firmen-Vorgaben Windows als Betriebssystem einsetzen müssen – mein persönliches Beileid an dieser Stelle – und dann Kali Linux als virtuelle Maschine nutzen. Das kann in diesem Setup schon Sinn mache, wobei ich den Einsatz von Debian stable als Betriebssystem für Penetration Testing bevorzuge.

Wie lerne ich nun Kali Linux?

Eigentlich ist die Frage schon falsch, wie man Kali Linux lernt. Dennoch wird sie immer wieder gestellt und geistert durch diverse Foren: Wie Kali Linux lernen? Wenn man einfach ein paar Hacking-Tools ausprobieren möchte (lokal, im eigenen privaten Netz), kann man sich Kali Linux einfach als VM installieren und mit den installierten Tools experimentieren. Über das Niveau vom experimentieren wird man aber nicht herauskommen. Wer sich aber wirklich mit einer Linux-Distribution und Hacking-Tools beschäftigen möchte, sollte sich besser Debian stable installieren – oder eine andere vernünftige Distribution für den täglichen Einsatz. Hacking lernt man, indem man neugierig ist, nichts illegales macht oder einfach nicht erwischt wird und Erfahrung sammelt. Penetration Testing lernt man, indem man einen ausreichend hohen Background in der IT aufbaut, hacken kann und sich dann in strukturierte Vorgehensweisen für Penetrationstests einarbeitet. Kali Linux lernt man, indem man es herunterlädt, als VM startet, sich die installierten Tools ansieht und dann realisiert, dass es einfach nur eine Linux-Distribution mit vorinstallieren Tools ist. Eben eine Debian-Linux-Distribution mit einem coolen Ruf als Linux-Distribution, die von echten Hackern eingesetzt wird.