Welcher Pentest-Ansatz: Whitebox-, Greybox- oder Blackbox-Penetrationstest?

In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verfügung gestellte Informationsbasis für den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest. 

Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer über das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst zusammen suchen. Seien es IP-Adressen, DNS-Einträge, verwendete Programmiersprachen über Stellenanzeigen.. die Möglichkeiten zum Information Gathering sind umfangreich, aber auch zeitaufwendig. Und erhöhen damit die Kosten eines Pentests, um zum gleichen Ergebnis wie beim Whitebox- oder Greybox-Ansatz zu kommen.

Der Whitebox-Pentest ist das Gegenteil vom Blackbox-Pentest: Hier erhält der Penetrationstester klassischerweise einfach alle Informationen und Daten, die er eventuell benötigen könnte: Dokumentation zu den IT-Systemen, Informationen über Konfigurationseinstellungen, Netzwerkdiagramme oder z.B. gar den Quelltext der vom Auftraggeber betriebenen Web-Anwendungen. Ein Pentester landet schnell im Informationsüberfluss, der wiederum Zeit und damit Geld kostet.

Ein guter Kompromiss zum Whitebox- und Blackbox-Pentest, ist der Greybox-Pentest. Der Penetrationstester enthält hier in der Regel mindestens alle Informationen, die ihm einfach nur wertvolle Zeit ersparen und er ohnehin gefunden hätte. Zudem muss ein Auftraggeber nicht alle internen Informationen und Dokumentationen aus der Hand geben. Typischerweise kann hier auch während des eigentlichen Test vom Pentester weitere Informationen eingeholt werden, wie z.B. welches Datenbanksystem eine Anwendung verwendet. So kann er zielgerichteter Testen und möglichst effizient alle Schwachstellen in IT-Systemen und IT-Anwendungen identifizieren.

Was ist ein Penetration Tester?

Ein Penetration Tester ist ein professioneller IT-Sicherheitsexperte mit einem starken technischem Fokus, der basierend auf einer strukturierten Vorgehensweise Schwachstellen in IT-Systemen und Anwendungen ausfindig macht und diese je nach Absprache mit seinem Auftraggeber ausnutzt. Als Penetration Tester verwendet er dabei die gleichen Hacking-Tools und -Techniken, die auch ein böswilliger Angreifer verwendet.

Welche Linux-Distribution ist die Beste für Anfänger?

Das beste Linux für Anfänger ist Debian GNU/Linux. Es ist meiner Meinung nach das beste Linux für Anfänger, die gerne lernen möchten, sowie für Experten. Es ist eine stabile Linux-Distribution auf der bekannte andere Distributionen wie Ubuntu oder Kali Linux aufsetzen, dabei ist Debian aber auch keine Hardcore-Distribution wie Gentoo Linux.

Ich persönlich habe damals mit Debian Sarge angefangen, als es noch Testing war. Jetzt arbeite ich immer noch mit Debian. Zwischenzeitlich habe ich diverse andere Distributionen wie Ubuntu, Linux Mint, Gentoo, SuSE, Fedora usw. ausprobiert, bin aber immer wieder nach Hause zu Debian gekommen.

Penetrationstest-Anforderungen für Konzessionen zur Veranstaltung von Sportwetten im Internet vom Regierungspräsidium Darmstadt

Neben einer ISO 27001-Zertifizierung muss für die Konzessionen zur Veranstaltung von Sportwetten im Internet des Regierungspräsidiums Darmstadt regelmäßig Penetrationstests der Sportwetten-Portale durchgeführt werden. Die Pentests müssen nach dem OWASP Testing Guide bzw dem OWSAP Testing Guide für Webservices durchgeführt werden. 

Der Penetrationstester muss unabhängig sein und die entsprechende Qualifikation besitzen:

  • Studium der technischen Informatik oder ein vergleichbares technisches Studium
  • mindestens 3 Jahre Berufserfahrung im Bereich IT-Sicherheit sowie mindestens 2 Jahre Berufserfahrung im Bereich Penetrationstests
  • eine Zertifizierung zum Penetration Tester (u.a. BSI-zertifizierter Penetrationstester, CPTC – Certified Penetration Testing Consultant, CPTE – Certified Penetration Testing Engineer, GPEN – GIAC Certified Penetration Tester, OSCP – Offensive Security Certified Professional oder CEPT – Certified Expert Penetration Tester).

Veranstaltung an der THM: Secure Coding – SS2022 – Termine, Belegung und Ablauf

Secure Coding wird in den Kalenderwochen  31 und 32 statt finden, also die ersten beiden Wochen im August. Diese Veranstaltung war vom Konzept ohnehin schon immer eine reine Online-Veranstaltung ohne jede Präsens, d.h. es gibt auch keine typische Klausur sondern ich bewerte die praktische Arbeit.

Es gibt drei Aufgaben:

(1) Ihr müsst eine sehr kleine REST-API schreiben.

(2) Ihr müsst eure eigene API auf die OWASP Top 10 prüfen und eine sehr kurze schriftliche Ausarbeitung dazu verfassen.

(3) Ihr erhaltet Zugang zu einer verwundbaren REST-API (GIT über OpenVPN) und müsst die existierenden Schwachstellen identifizieren und beheben. Dabei könnt ihr als Programmiersprache auswählen zwischen PHP, Java, Python, Perl, Go, Ruby und Node.js. Hierzu nutze ich als technische Ressource den „Secure Coding“-Kurs auf binsec-academy.com. Alle Accounts werden von mir dort später selbst angelegt und die binsec academy GmbH stellt die technischen Ressourcen natürlich kostenlos zur Verfügung – ich bin an der Unternehmensgruppe beteiligt.

Es zeigt sich immer wieder, dass sich Teilnehmer mit geringen oder schlechten Programmier-Kenntnissen sehr schwer tun. Wer also mit Programmierung auf Kriegsfuß steht, sollte von diesem Modul besser absehen oder eine steile Lernkurve einplanen! Ich gebe keine allgemeine Programmierhilfe.

Die Aufgaben 1 und 2 werde ich noch im Juli veröffentlichen, sodass daran vorher gearbeitet werden kann. Zur finalen Notenbewertung ziehe ich primär die Anzahl der gefundenen und geschlossenen Schwachstellen im Code aus der 3. Aufgabe heran.

Ich lege stets eine gewisse Hürde auf, um zugelassen zu werden: Ihr müsst mir ein Code-Snippet von einer der oben genannten Programmiersprachen zusenden (per E-Mail an patrick.sauer@mnd.thm.de), welche eine der OWASP Top 10 Schwachstellen enthält und einen korrekten Vorschlag zur Behebung geben. Das ganze bitte zwingend aes-verschlüsselt über OpenSSL mit dem Passwort 123456:

tar cz secure-coding-abgabe-zulassung/ | openssl aes-256-cbc -pbkdf2 -e > vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc

zum Testen der Entschlüsselung: cat vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc | openssl aes-256-cbc -pbkdf2 -d | tar xzv

In der Regel gibt es genug Plätze, ansonsten gilt first come, first serve.

Was kostet ein Penetrationstest?

Die kosten eines Penetrationstests sind anhängig vom eingesetzten Zeitaufwand und dem aufgerufenen Tagessatz.

Die Tagessätze für Penetrationstester sind überdurchschnittlich hoch und liegen zwischen 1.200€ und 2.000€, sofern es sich um einen seriösen Dienstleister für Penetrationstests handelt. Geringere Tagessätze weisen meist daraufhin, dass der jeweilige Anbieter eher versucht einen Schwachstellen-Scan als einen Penetrationstest zu verkaufen. Gutes Personal mit viel Know-How und Erfahrung kostet Geld und das macht sich in der Regel auch in den Tagessätzen bemerkbar.

Die investierte Anzahl der Tage ist meistens abhängig von der Komplexität des Scopes bzw des zu testenden Systems, Anwendung oder Unternehmen. Je komplexer die Angriffsoberfläche, desto länger dauert die Prüfung.

Kürzere Penetrationstests liegen bei 2 Tagen, größere Systeme können mehrere Wochen benötigen. In der Regel sind 5-10 Tage ein realistischer Durchschnitt, mit Abweichungen nach unten und oben. 

Somit starten die Kosten oft bei 2.400€-3.000€ für einen kleinen Pentest, erreichen relativ schnell das Niveau um 12-16.000€, wobei nach oben prinzipbedingt keine Grenzen gesetzt sind.

Was ist ein Penetrationstest?

Ein Penetrationstest ist im Prinzip ein strukturiert durchgeführter Angriff auf die IT-Infrastruktur eines Unternehms. Hierbei setzt ein Penetration Tester die gleichen Tools und Technicken ein, die auch ein Hacker in seinem Angriff verwendet. Allerdings unterscheidet sich dabei die Zielstellung zwischen einem böswilligen Hacker und einem professionellem Penetrationstester.

Ein Hacker versucht in der Regel in ein Unternehmen einzudringen, um sich Zugang zu deren IT-Systemen und Daten zu verschaffen. Hierzu benötigt er nur eine einzige kritische Schwachstelle, die er erfolgreich ausnutzen kann.

Unternehmen, die einen Penetrationstest beauftragen, wollen aber in der Regel primär nicht erfolgreich gehackt werden, sie wollen wissen, ob dieses möglich ist. Hierzu wird ein Penetrationstester versuchen alle Schwachstellen zu identifzieren, unabhängig von deren Kritikalität. Viele Schwachstellen werden dabei auch versucht auszunutzen, aber nicht alle. Denn manche weiterführende Angriffe stellen ein höheres Risiko für die angegriffen IT-Systeme dar.

Penetrationstest Anbieter: Das Unternehmen binsec GmbH als Ihr Dienstleister für Pentests aus Frankfurt am Main

Die binsec GmbH ist ein von mir im Jahr 2013 mitgegründetes Beratungsunternehmen für Informationssicherheit aus Frankfurt am Main. Ich bin seit der Gründung der Geschäftsführer der binsec GmbH. Wir führen als Dienstleister Penetrationstests durch und beraten unsere Kunden auch in den Bereichen Sicherheitsmanagement und IT-Sicherheit.

Die binsec GmbH liegt über die binsec group GmbH vollständig in der Hand der drei Gesellschafter: Patrick Sauer, Florian Zavatzki und Dominik Sauer. Wir sind an der langfristigen Zufriedenheit unserer Kunden und Mitarbeiter interessiert: Kurzfristige Umsatz- und Gewinnmaximierung ist nicht unser Ziel.

Mein Team besteht aus erfahrenen, zertifizierten Spezialisten. Unser Fokus ist immer die Sicherheit der geschäftskritischen IT-Systeme und Informationen. Auch wenn wir Penetrationstests durchführen, behalten wir die Business-Aspekte im Blick.

Als Anbieter für Penetrationstests und Sicherheitsberatung sind wir in den letzten Jahren zur Top-Adresse als Pentest Dienstleister gerade im Großraum Frankfurt am Main geworden.

Mehr Information über unser Unternehmen und Dienstleistungen als Anbieter für Pentesting gibt es auf https://www.binsec.com.