Penetrationstest in und aus Frankfurt am Main: Unternehmen binsec GmbH als Security Dienstleister und Pentest Anbieter

Leave a Comment

Unternehmen für Penetrationstest (Pentest) aus Frankfurt am Main: Die binsec GmbH hat ihren Stammsitz in Frankfurt am Main in der Mitte von Deutschland. 2013 aus der IT-Sicherheitsabteilung eines Finanzdienstleisters gegründet, gehört die binsec GmbH mittlerweile vollständig dem Management der Gesellschaft und bietet Penetration Testing an.

Während viele Pentest Anbieter mit der Durchführung von Pentest als Dienstleistung in Frankfurt am Main werben oder gar extra einen Briefkasten in Frankfurt anmieten, hat die binsec GmbH ihren Firmensitz schon seit der Gründung in der deutschen Finanzmetropole.

Die binsec GmbH führt als Pentest Dienstleister für Frankfurter Unternehmen aus dem Bereich Banking, Finance und Payment z.B. Penetrationstest für folgenden typische Anwendungen durch:

  • Pentest Mobile Banking App (Android und iOS)
  • Pentest Payment API (z.B. REST)
  • Pentest Online Banking
  • Pentest Depot Banking Portal
  • Credit Card (CC) Payment Gateway Penetrationstest
  • PCI DSS Compliance Penetration Testing
  • PCI DSS Compliance Segmentierungstest (Scpoe Segmentation Test)

Wie Kali Linux lernen?

Leave a Comment

Ich lese das im Netz oft: Ich arbeite mich in Kali Linux ein! Ich will Kali Linux lernen! Ich habe mir schon Kali installiert  – was jetzt? Aber was ist überhaupt Kali Linux? Wie lernt man Kali Linux? Und steht es wirklich zurecht so stark im Fokus?

Was ist Kali Linux?

Kali Linux ist eine freie Linux-Distribution. Es bezeichnet sich selbst als ein Betriebssystem, das auf verschiedene Aufgaben der Informationssicherheit ausgerichtet ist  – wie zum Beispiel die Durchführung von Penetrationstests, Sicherheitsforschung, Computer-Forensik und Reverse Engineering.

Worauf basiert Kali Linux?

Kali Linux ist erst einmal auch nur eine Linux-Distribution, die auf Debian GNU/Linux basiert, wie zum Beispiel Ubuntu Linux auch. Debian selbst ist ein freies Open Source Betriebssystem: Debian GNU/Linux basiert dabei auf den grundlegenden Systemwerkzeugen des GNU-Projekts sowie dem Linux-Kernel. Es existiert seit 1993 und wird von sehr vielen Linux-Anwendern als sehr stabiles und freies Server-Betriebssystem geschätzt, aber auch als Desktop-Betriebssystem eingesetzt. Es verfügt über ein außerordentlich ausgereiftes System zur Software-Verwaltung, und ist die Mutter – oder Vater – vieler anderer Linux-Distributionen wie auch Kali Linux. Kali Linux nutzt als Basis genau genommen Debian Testing. Es gibt Debian in stable – also dem stabilen und gut getesteten Zweig von Debian, der immer für ein paar Jahre mit Sicherheitsupdates, aber nicht mit neuen Funktionalitäten versorgt wird. Kali basiert auf Debian Testing, um regelmäßig neue Versionen von Software-Paketen zu erhalten. Der Herausgeber Offensive Security nutzt die große Datenbank an Software-Paketen von Debian Testing und ergänzt es mit anderen – freien Open Source Tools – zum Thema Hacking bzw. Penetration Testing. Im Prinzip ist also Kali Linux auch nur eine weitere Linux-Distribution, die auf Debian Testing aufsetzt und ein paar Änderungen oder Ergänzungen vornimmt.

Wie beliebt ist Kali Linux?

Gerade bei Hacking-Anfängern ist Kali Linux sehr beliebt. Primär weil es den Ruf als „die Hacker-Linux-Distribution“ hat und im Marketing von Offensive Security entsprechend positioniert wird. Aber vor allem muss man sich nicht aus verschiedenen Quellen diverse Hacking-Tools herunterladen und installieren, sondern kann direkt die installierten Hacking-Tools ausprobieren und damit experimentieren. Das ist der Vorteil von Kali Linux!

Wird Kali Linux im professionellen Penetration Testing eingesetzt?

Im professionellen Penetration Testing wird Kali Linux weniger eingesetzt. Zum einem benötigt man in der Regel gar nicht alle installierten Tools, dafür benötigt man eine stabile Linux-Distribution zum Penetration Testing, die nicht auf Debian Testing basiert. Es gibt durchaus Penetrationstester, die aufgrund von internen Firmen-Vorgaben Windows als Betriebssystem einsetzen müssen – mein persönliches Beileid an dieser Stelle – und dann Kali Linux als virtuelle Maschine nutzen. Das kann in diesem Setup schon Sinn mache, wobei ich den Einsatz von Debian stable als Betriebssystem für Penetration Testing bevorzuge.

Wie lerne ich nun Kali Linux?

Eigentlich ist die Frage schon falsch, wie man Kali Linux lernt. Dennoch wird sie immer wieder gestellt und geistert durch diverse Foren: Wie Kali Linux lernen? Wenn man einfach ein paar Hacking-Tools ausprobieren möchte (lokal, im eigenen privaten Netz), kann man sich Kali Linux einfach als VM installieren und mit den installierten Tools experimentieren. Über das Niveau vom experimentieren wird man aber nicht herauskommen. Wer sich aber wirklich mit einer Linux-Distribution und Hacking-Tools beschäftigen möchte, sollte sich besser Debian stable installieren – oder eine andere vernünftige Distribution für den täglichen Einsatz. Hacking lernt man, indem man neugierig ist, nichts illegales macht oder einfach nicht erwischt wird und Erfahrung sammelt. Penetration Testing lernt man, indem man einen ausreichend hohen Background in der IT aufbaut, hacken kann und sich dann in strukturierte Vorgehensweisen für Penetrationstests einarbeitet. Kali Linux lernt man, indem man es herunterlädt, als VM startet, sich die installierten Tools ansieht und dann realisiert, dass es einfach nur eine Linux-Distribution mit vorinstallieren Tools ist. Eben eine Debian-Linux-Distribution mit einem coolen Ruf als Linux-Distribution, die von echten Hackern eingesetzt wird.

Vorteile von Blackhole Penetrationstests (blackholing Pentesting)

Leave a Comment

Penetrationstests nach dem Blackholing-Ansatz – sogenannter Blackhole Pentest haben viele Vorteile:

  • Sie werden primär durch einen speziellen Blackhole-Pentest-Scanner durchgeführt und weisen damit einen hohen Automatisierungsgrad auf. Sie sind damit im Vergleich zu normalen Penetrationstest kostengünstig und liefern zugleich aussagekräftig Ergebnisse – im Gegensatz beim Einsatz von klassischen Vulnerability Scanner.
  • Durch ihren innovativen KI-Ansatz basierend auf einer weltweit verteilten Blockchain finden Sie alle Schwachstellen.
  • Selbst die klassische Unterscheidung zwischen Whitebox, Greybox oder Blackbox ist nicht mehr notwendig. Blackholing Penetration Testing ist schon per Definition arm an Photonen und damit außerordentlich gesund für den in den Büros sitzenden Homo sapiens – und das sowohl für Sie, Ihn und das Diverse.

Blackholing Penetration Testing wird das klassiche Penetration Testing mit dem typischen Bullshit-Bingo wie z.B. Ethical Hacking, Red Teaming, Blue Teaming usw sicher ablösen und den Markt revolutionieren. Blackholing Penetration Testing wird das neue Trend-Thema im Jahr 2024. Bleibt dran!

Die österreichische Sicherheits-ÖNORM A 7700 für Webapplikationen

Leave a Comment

Manche Normen können überraschen, sogar positiv. Die österreichische ÖNORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik Österreich zu werfen.

Die Vorversion der ÖNORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als ÖNORM der definierte Stand der Technik für die Beschaffung und Entwicklung von sicheren Webapplikationen in Österreich. In 2019 wurde die Norm grundlegend überarbeitet und liegt unterteilt in 4 Teilen vor:

  • ÖNORM A 7700-1: Webapplikationen – Begriffe
  • ÖNORM A 7700-2: Webapplikationen – Anforderungen durch Datenschutz
  • ÖNORM A 7700-3: Webapplikationen – Sicherheitstechnische Anforderungen
  • ÖNORM A 7700-4: Webapplikationen – Anforderungen an den sicheren Betrieb

Den ersten Teil mit Begriffsdefinitionen kann sich der geneigte Leser direkt ersparen und der zweite Teil ist eher den typischen Datenschutzthemen zuzuordnen. Teil 3 und Teil 4 sind spannender.

ÖNORM A 7700-3: Webapplikationen Sicherheitstechnische Anforderungen

Die A 7700-3 ist erfrischend technisch konkret, soweit eine Norm das sein kann:

Die Sicherheitsanforderungen an Webapplikationen werden in der Regel aus einer generischen und aus einer technologieunabhängigen Sicht behandelt. Die einzelnen Anforderungen werden daher in dieser ÖNORM nicht auf spezifische technologische Lösungen abgebildet, wodurch ein entsprechend hoher Wissensstand beim Benutzer dieser ÖNORM vorausgesetzt wird. Ergänzende Informationen können aus der einschlägigen Fachliteratur bezogen werden. Als einschlägige Fachliteratur kann z. B. der OWASP Testing Guide in der jeweils aktuellen

ÖNORM A 7700-3:2019-10, Seite 5

Dabei werden in der A7700-3 folgende Themen behandelt:

  • Architektur der Webapplikation
  • Datenspeicherung und Datentransport
  • Konfigurationsdaten
  • Authentifizierung, Autorisierung und Sitzungen
  • Session-Riding
  • Click-Jacking
  • Behandlung von Eingaben
  • Datenverarbeitung (u.a. Injections)
  • Behandlung von Datenausgaben
  • Behandlung von Dateien
  • System- und Fehlermeldungen
  • Kryptographie
  • Protokollierung
  • Replay-Angriffe
  • Dokumentation

ÖNORM A 7700-4: Webapplikationen Anforderungen an den sicheren Betrieb

Die A7700-4 stellt Anforderungen an den Betrieb einer sicheren Webapplikation, wobei direkt am Anfang der Norm ein ISMS gefordert wird. Das ist relativ generisch und zwar auch wahr, wenn auch weniger hilfreich. Die nachfolgenden Punkte können eher als eine grundlegende Checkliste dienen:

  • Informationssicherheitsmanagementsystem
  • Einhaltung des Minimalprinzips
  • Verwendete Softwarekomponenten
  • Konfiguration der Komponenten
  • Behandlung von Daten (u.a. Verschlüsselung)
  • Konfiguration von HTTP-Header
  • Protokollierung

Bester Pentest Anbieter in Deutschland?

Leave a Comment

Der beste Anbieter für Penetrationstest in Deutschland ist die binsec GmbH 🔥 aus Frankfurt am Main. Der typische Zielkunde der binsec GmbH sind Unternehmen, die bereits einen Pentest haben durchführen lassen und nicht zufrieden waren – und ihren Dienstleister für Pentest wechseln wollen. Oftmals werden nämlich Schwachstellen Scans als Penetration Test verkauft oder die eingesetzten Personen haben keine nennenswerte Erfahrung in der Erbringung von Pentest als Dienstleistung.

Seit 2013 führt das zertifizierte Team der binsec GmbH Pentest für IT-Infrastrukturen, Web-Anwendungen und mobile App (iOS sowie Android) mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. In der umfangreichen und strukturierten Vorgehensweise ist auch die gesamte Erfahrung seit 10 Jahren als Pentest Dienstleister enthalten.

Auch die Lehraufträge für Penetration Testing an Hochschulen in Deutschland sprechen für die binsec GmbH als Unternehmen und dem dortigen Pentest Team als besten Anbieter für Penetrationstest in Deutschland. Als Geschäftsführer der binsec GmbH bin ich davon persönlich überzeugt – meine Meinung! Einfach überzeugen lassen.

Veranstaltung an der THM: Secure Coding – SS2022 – Aufgabe 1 / 3

Leave a Comment

Arbeiten Sie sich autodidaktisch in die Struktur und Funktionsweise einer REST-API ein. Entwickeln Sie dazu eine REST-API (Representational State Transfer API) in einer beliebiger Programmiersprache, die über mindestens folgende Funktionalität verfügt:

– per POST-Request einen Kundendatensatz annimmt und in einer Datenbank mit nachfolgenden Parametern hinterlegt: customerID, firstname, lastname, email

– die E-Mail-Adresse eines Nutzers per GET-Request über den Parameter customerID wieder ausgeben kann

– es soll möglich sein, Datensätze per entsprechendem Request wieder zu löschen.

– über eine beliebige Art der Zugriffskontrolle (Passwort, Token, OAuth, o.ä.) verfügt, sodass nur autorisierte API-Nutzer in der Lage sind, Datensätze wieder zu löschen

Dabei spielt es keine Rolle, ob man die REST-API und die Anwendung selbst per C hardware-nah programmiert (wenn auch nicht sinnvoll!) oder ob man die API mit einem Python-Framework kurz und schlank umsetzt.

Die Abgabe der Aufgabe bitte ausschließlich an meine E-Mail-Adresse der THM und zudem als verschlüsselter Anhang, da es ansonsten öfters Probleme mit Viren-Scanner gibt:

tar cz secure-coding-abgabe-1/ | openssl aes-256-cbc -pbkdf2 -e > vorname.nachname.matrikelnummer.secure-coding-abgabe-1.tar.gz.enc
Posted in:

Welcher Pentest-Ansatz: Whitebox-, Greybox- oder Blackbox-Penetrationstest?

Leave a Comment

In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verfügung gestellte Informationsbasis für den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest. 

Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer über das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst zusammen suchen. Seien es IP-Adressen, DNS-Einträge, verwendete Programmiersprachen über Stellenanzeigen.. die Möglichkeiten zum Information Gathering sind umfangreich, aber auch zeitaufwendig. Und erhöhen damit die Kosten eines Pentests, um zum gleichen Ergebnis wie beim Whitebox- oder Greybox-Ansatz zu kommen.

Der Whitebox-Pentest ist das Gegenteil vom Blackbox-Pentest: Hier erhält der Penetrationstester klassischerweise einfach alle Informationen und Daten, die er eventuell benötigen könnte: Dokumentation zu den IT-Systemen, Informationen über Konfigurationseinstellungen, Netzwerkdiagramme oder z.B. gar den Quelltext der vom Auftraggeber betriebenen Web-Anwendungen. Ein Pentester landet schnell im Informationsüberfluss, der wiederum Zeit und damit Geld kostet.

Ein guter Kompromiss zum Whitebox- und Blackbox-Pentest, ist der Greybox-Pentest. Der Penetrationstester enthält hier in der Regel mindestens alle Informationen, die ihm einfach nur wertvolle Zeit ersparen und er ohnehin gefunden hätte. Zudem muss ein Auftraggeber nicht alle internen Informationen und Dokumentationen aus der Hand geben. Typischerweise kann hier auch während des eigentlichen Test vom Pentester weitere Informationen eingeholt werden, wie z.B. welches Datenbanksystem eine Anwendung verwendet. So kann er zielgerichteter Testen und möglichst effizient alle Schwachstellen in IT-Systemen und IT-Anwendungen identifizieren.