Archiv für den Monat: August 2014

11 08, 2014

Literatur & mehr fürs Pentesting

von |11. August 2014|Pentest|0 Kommentare|

Eine kleine – unvollständige – Übersicht über die verfügbare Literatur, Kurse usw. für Pentesting:

Kurse

Der OSCP (Offensive Security Certified Professional) von Offensive Security ist absolut sein Geld wert. Krassere Lernkurve geht kaum. Neben dem sehr guten Lab wird noch eine PDF und Videos mitgeliefert. Mehr Exploit Development gibts beim OSCE von Offensive..

Bücher

Für Exploit Development recht gut:

  • Hacking: Die Kunst des Exploits
  • Aus dem Tagebuch eines Bughunters: Wie man Softwareschwachstellen aufspürt und behebt

Ein älteres Buch (2007) über grundsätzliches Penetration Testing:

  • Die Kunst des Penetration Testing – Handbuch für professionelle Hacker

Metasploit ist zwar nicht gleich Pentesting, aber die Bücher sind ganz ok:

  • Penetration Testing mit Metasploit: Eine praktische Einführung
  • Metasploit: Das Handbuch zum Penetration-Testing-Framework

Online

Für Webanwendungen einfach OWASP.org besuchen. Der Pentesting Guide ist recht gut:

  • https://www.owasp.org/index.php/OWASP_Testing_Project

Für Metasploit gibts noch:

  • http://www.offensive-security.com/metasploit-unleashed/Requirements

 

8 08, 2014

Semesterarbeit: Ermittlung von Qualitätsanforderungen für Prozessimplementierungen des informationssicherheitsbezogenen Risikomanagements

von |8. August 2014|Studium|0 Kommentare|

Im Master-Studium Security Management habe ich diverse Arbeiten geschrieben. Nach Recht stelle ich nun meine zweite Semesterarbeit von 2012 online:

Download PDF: Ermittlung von Qualitätsanforderungen für Prozessimplementierungen des informationssicherheitsbezogenen Risikomanagements

7 08, 2014

Hausarbeit in Recht: Sicherheitsstandards zur sicheren Zahlung

von |7. August 2014|Studium|0 Kommentare|

Beim Sortieren alter Unterlagen vom Master-Studium Security Management bin ich über eine Hausarbeit aus der Vorlesung Recht gestolpert – vielleicht interessiert sich jemand dafür:

Download PDF: Sicherheitsstandards zur sicheren Zahlung – Übersicht über die internationalen, europäischen und nationalen Standards zur Sicherung von elektronischen Zahlungen sowie die Bewertung der Regelungen nach Verbindlichkeit und Freiwilligkeit

7 08, 2014

Problem Driven Project Management: Agil war gestern!

von |7. August 2014|Allgemein|0 Kommentare|

Problem Driven Project Management ist eine moderne alternative zu agilen Projektmanagement-Methoden. Während im Wasserfallmodell noch alles von oben herab durchgeplant werden muss und selbst bei agilen Methoden noch iterative Planungen durchgeführt werden müssen, fällt der Punkt Planung beim problemgetriebenen Projektmanagement einfach weg.

Durch die fehlende Planungsphase ergeben sich enorme Ressourcen- und damit auch Kosten-Einsparungen und es stellt sich automatisch eine sehr zielgerichtet Vorgehensweise ein: Aktuelle Probleme werden einfach priorisiert und danach abgearbeitet. Die Vorgehensweise ist zudem sehr intuitiv und orientiert sich direkt an den Bedürfnissen der Projektbeteiligten. Auch Kunden ziehen in der Regel einen problemgetriebenen Lösungsansatz einer ausführlichen Planung vor, die ohnehin nie eingehalten werden kann. Dadurch ergibt sich eine höhere Kundennähe und damit ultimativ eine höhere Kundenzufriedenheit.

Ausführliche Planungen, Projekt- und Teammeetings waren gestern. Das Problem Driven Project Management ist die perfekte Projektmanagement-Methode für alle, die agile Methoden immer noch für zu steif empfanden. Dieser einfache Ansatz verzichtet vollkommen auf Ausbildungen oder Zertifikate für Projektmanager – jeder kann nach dem problemgetriebenen Projektmanagement Erfolg haben!

In vielen Unternehmen wurde das Problem Driven Project Management bereits eingeführt, oftmals als direkte Reaktion auf die bisherigen komplexen planungs- und organisationsintensiven Managementmethoden. Agil war gestern, problem driven ist heute!

Jetzt einmal ohne heftigen Sarkasmus: Der obige Text ist natürlich totaler Schwachsinn – Ein Problem Driven Project Management ist nur die Verwaltung von Chaos. Wer sich darin wiedererkennt, sollte dringend handeln!

6 08, 2014

Google, Du hast gewonnen: Ich nutze ab sofort Google Drive für meine Daten

von |6. August 2014|Allgemein|0 Kommentare|

Der Security-Spezialist in mir weigerte sich jahrelang Cloud-Dienste in größerem Umfang zu nutzen. Gibt man schließlich private Daten in die Cloud, gibt man die absolute Kontrolle darüber ab. Meine Meinung darüber hat sich nicht wesentlich geändert, ich habe nur kapituliert.

Gegen die Geheimdienste bin ich ohnehin weitgehend machtlos und Krypto ist einfach für gewöhnliche private Daten viel zu aufwendig. Gegen 08/15-Hacker-Attacken wird sich Google sicherlich zu verteidigen wissen. Zumindest erscheint mir das Security-Konzept von Google auf den ersten Blick vorbildlich zu sein. Ich vertraue der Datenkrake Google unter Security-Aspekten wesentlich mehr als den Datenkraken Facebook oder Dropbox. Microsoft erwähne ich besser gar nicht erst.

Mittlerweile hat man nicht mehr nur einen PC oder Laptop, sondern einen ganzen Wildwuchs an Endgeräten: PCs, Laptops, Smartphones und Tablets. Ein paar Hundert Gigabytes an MP3s, Bildern, Vorlesungsunterlagen, uvm. kann man nur noch auf großen Datenträgern auslagern. Wenn man früher noch eine verschlüsselte externe Festplatte mitnahm, ist es heute nur noch umständlich: Wie schließe ich ein Tablet an eine verschlüsselte externe Festplatte an? Gar nicht.

Google kennt viele meiner Mails, mein komplettes Suchverhalten, synchronisiert von meinem Android-Device keine Ahnung was alles auf seine Server. Habe ich eigentlich noch wirklich eine Kontrolle, wer welche Daten von mir hat? Welche App auf meinem Smartphone welche privaten Daten von mir ins Ausland schickt? Nicht wirklich. Ich habe nur noch eine Pseudo-Kontrolle.

Ich könnte mir eine eigene Private Cloud aufbauen. Es gibt freie Software dazu, das ist nicht das Problem. Fehlt noch der Server, der schön regelmäßig Geld verschlingt. Dazu ist mir meine eigene private Zeit zu kostbar geworden, um Stunden oder gar Tage in irgendwelche Setups zu investieren, die dann nur mehr oder wenig gut funktionieren. Das ist keine Alternative mehr, der Aufwand ist zu hoch.

Ich habe mir jetzt testweise 100GB in Drive geholt, und werde vermutlich auf 1TB upgraden. Ich werde sicher keine wirklich privaten Dateien in die Cloud schieben. Für den Rest ist es einfach zu praktisch von allen Clients problemlos unterwegs auf Dateien in Drive zugreifen zu können. Ich kann nicht mehr kontrollieren, wer im Zweifel darauf zugreifen kann. Ich bin mir darüber bewusst, dass Google E-Mails scannt und ein amerikanisches Unternehmen ist.

Wenn ich aber die Risiken gegenüber den Vorteilen abwäge, ist die Entscheidung klar. Google du hast gewonnen, ich kapituliere: Technischer Fortschritt und maximale Privatsphäre lässt sich nicht vereinbaren. Man muss den persönlichen Kompromiss finden…

1 08, 2014

Wie wird man eigentlich Penetration Tester?

von |1. August 2014|Pentest|3 Kommentare|

Einführung

Ich wurde nun schon mehrmals gefragt, wie man eigentlich Penetration Tester wird und welche Vorgehensweise ich dazu empfehlen kann. Es gibt weder eine darauf spezialisierte Ausbildung noch ein darauf spezialisierter Studiengang. Ich möchte die Beantwortung der Frage von hinten aufziehen und zuerst die Frage beantworten, was ein guter Penetration Tester denn überhaupt können und wissen muss. Nun, da wären mindestens Kenntnisse und Fähigkeiten in:

  1. IT-Systemadministration (Betriebssysteme, Netzwerke usw.)
  2. Anwendungsentwicklung (diverse Programmiersprachen wie C, Java, PHP, Python)
  3. Theoretische Angriffstechniken: Buffer Overflow, Code Execution, Injections, uvm.
  4. Bedienung von Tools wie Nessus, Nikto, nmap, owasp-zap (damit meine ich nicht auf Skriptkiddie-Niveau)
  5. Entwicklung eigener Tools oder die Weiterentwicklung vorhandener
  6. Strukturierter Vorgehensweisen für Penetration Testing (OSSTMM, OWASP Penetration Testing Guide)
  7. Report-Erstellung (Strukturierte Berichte, Schreiben von Erläuterungen und Dokumentation)

Okay, die Auflistung ist umfangreich, ich möchte aber nichts streichen. Ich halte alle Punkte für relevant und notwendig. Es geht schließlich nicht um die Frage wie man Hacker wird, sondern wie man professioneller Karriere als Penetration Tester beginnt. Dazu gehört dann doch deutlich mehr als nur hacken zu können.

Die Grundlagen (Punkte 1 und 2)

Ich empfehle als Grundlage entweder eine Ausbildung zum Fachinformatiker (Fachrichtung Systemintegration oder Anwendungsentwicklung) oder bei formaler Eignung (ab Fach-Abi) ein Informatik-Studiengang an einer Fachhochschule. Eine Universität würde ich für das Berufsziel Penetration Tester nicht wählen, das ginge aufgrund der Mathe- und Theorielastigkeit am Ziel vorbei. Ich würde ein Informatik-Studium an einer FH wählen, entweder reine Informatik oder zumindest etwas Vergleichbares in technischer Richtung. Medieninformatik und Wirtschaftsinformatik bieten keine idealen Vorrausetzungen für Penetration Tester, sind aber immer noch besser als gar nichts.

An der Anwendungsentwicklung kommt man in der Ausbildung und im Studium nicht vorbei und grundlegende IT-Systemadministration sollte hoffentlich auch dabei sein. Ansonsten muss man privat ein wenig nachhelfen – einfach alte Hardware nehmen und mit Linux & Windows experimentieren. Die Virtualisierungen Xen, kvm & Co erlauben auch den Aufbau eines ganzen Netzwerks auf einer physikalischen Maschine und sind kostenfrei. Hier kann man sich austoben und die Grundlagen vertiefen, wenn man ansonsten keinen Zugang zu praktischen Erfahrung bekommt. Ansonsten sollte man sicherlich noch eine vernünftige Script-Sprache lernen; ich empfehle Python (oder Perl oder Ruby oder bash, aber nicht PHP & Co).

Die Angriffstechniken (Punkte 3 bis 5)

Die theoretischen und praktischen Angriffstechniken ohne „Anleitung“ zielgerichtet zu lernen erfordert eine gewisse Selbstdisziplin. Es gibt im Netz dafür gute Online-Kurse wie z.B. den OSCP (Offensive Security Certified Professional) von Offensive Security. Der CEH (Certified Ethical Hacker) ist nur theoretisch und vermittelt keine Praxis. Das Wissen vom CEH kann man sich auch aus Büchern und dem Web anlesen, falls einem der OSCP zu „praktisch“ orientiert ist. Das zur Verfügung gestellte Hacking-Lab ist beim OSCP ist definitiv sein Geld wert und ich kann es nur weiterempfehlen.

Ansonsten gibt es im Web auch noch sehr viele frei-verfügbare & verwundbare Server-Images, an denen man kostenlos üben kann. Bücher gibt es auch einige, mit unterschiedlichem Niveau. Wer hier noch in der Ausbildung oder Studium etwas dazu lernt, dürfte ziemlich viel Glück gehabt haben. Oder er studiert direkt einen Bachelor in IT-Security und hat tatsächlich einen guten Prof für die Vorlesung erwischt. Das dürfte aber die Ausnahme sein. Ich würde ohnehin nicht bereits im Bachelor eine Spezialisierung wählen, dafür gibt es Master-Studiengänge.

Die Entwicklung eigener Tools wird mit steigender Erfahrung notwendig sein und ist mehr ein natürlicher Anpassungsprozess an eventuell nicht ausreichende oder nicht vorhandene Tools. Wer bereits Erfahrung im Programmieren oder in der Software-Entwicklung besitzt hat es hier deutlich leichter, auch wenn Penetration Testing nicht Anwendungsentwicklung bedeutet.

Die Professionalisierung vom Hacking (Punkte 6 und 7)

Professionelle Penetrationstests weisen immer eine strukturierte Vorgehensweise auf. Wer einfach „drauflos hackt“ wird vielleicht etwa finden, sicherlich nicht alles und vor allem wird der Test nicht reproduzierbar sein. Damit sinkt die Aussagekraft eines Penetrationstests enorm – eine ordentliche Vorgehensweise ist im professionellen Umfeld dringend erforderlich. Diverse Ansätze sind frei verfügbar (z.B. OSSTMM). Daran sollte man sich zumindest erst einmal orientieren, bis man in der Lage ist eventuell notwendige Anpassungen vorzunehmen.

Nach einem Penetrationstest muss noch der Bericht dazu erstellt werden. Dieser muss klar verständlich, vollständig und am Zielpublikum ausgerichtet sein (was nie einheitlich sein wird). Wichtig ist es dabei auch, schreiben zu können: Schriftlich Sachverhalte darlegen oder aufzeigen können. Konkrete Formulierungen wählen. Sichere Rechtschreibung und Grammatik.

Fazit

Die Anforderungen an Pentester sind sehr hoch. Der Weg dorthin erfordert ein hohes Maß an Interesse, intrinsische Motivation und Eigeninitiative. Niemand wird einem den Weg dorthin im Detail vorgeben und ich glaube auch nicht, dass man das regelrecht planen kann. Wer gerne Sicherheitslücken entdeckt und Spaß dabei hat, der soll den Weg dorthin einschlagen.