InfoSec Blog | Patrick Sauer & Dominik Sauer – Seite 6 – Blog – IT Security – Pentest

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren? – Vortrag beim CAST-Workshop Forensik und Internetkriminalität 14.12.2017

24. Oktober 2017 by Patrick Sauer Leave a Comment

Ich wurde vor ein paar Wochen seitens der HDA bzw. dem CAST e.V angefragt, ob ich am 14.12.2017 beim CAST-Workshop „Forensik und Internetkriminalität“ einen Vortrag zu Pentesting halten möchte. Aber gerne doch! Jetzt steht der Titel fest:

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren?

Böswillige Hacker greifen IT-Systeme an, professionelle Penetrationstester ebenso. Natürlich unterscheidet sich die Motivation hinter den Angriffen, aber hinterlassen Hacker und Pentester eigentlich die gleichen IT-forensischen Spuren? Wir gehen der Frage auf den Grund.

https://www.cast-forum.de/workshops/infos/245

Wahlpflichtfach PCI DSS an der Technischen Hochschule Brandenburg – Danke & Tschüss

20. Oktober 2017 by Patrick Sauer Leave a Comment

Seit 2014 bin ich Dozent bzw. Lehrbeauftragter an der Technischen Hochschule Brandenburg (THB, ehemals Fachhochschule Brandenburg) für das Wahlpflichtfach PCI DSS im Master-Studiengang „Security Management“. Die Blockveranstaltung für dieses Semester ist vorbei und es stehen nur noch die Hausarbeiten an.

Ich habe die Zusammenarbeit mit den Studenten dort sehr genossen. Es hat Spaß gemacht sich in diesem einzigartigen Studiengang in der akademischen Lehre zu engagieren. Meine Vorlesung kam – den abschließenden Feedbackrunden nach – sehr gut bei den Studenten an. Insbesondere der Verzicht auf den typischen Frontalunterricht mit nur ~ 20 Slides zur Einführung in das Thema überhaupt war aus meiner Sicht erfolgreich und hat auch alle meine weiteren Vorträge, Lehraufträge oder Dozentenaufträge geprägt.

Nichtsdestotrotz habe ich mich entschlossen, der THB als Dozent nicht mehr zur Verfügung zu stehen. Die Gründ sind vielfältig:

Die Lehre im SecMan-Master dort erfolgt unentgeltlich bzw. ehrenamtlich. Das ist dem besonderen Konzept und der Finanzierung dieses Studiengangs geschuldet. Grundsätzlich störte mich das nicht, aber mit der Öffnung der Fächer für Master-Wirtschaftsinformatiker beteiligte ich mich plötzlich an der Lehre in anderen Studiengängen. Hochschulen zahlen Dozenten zumindest eine „Aufwandsentschädigung“. Ich bin insgesamt nicht mehr bereit, für die THB einen 0€-Job zu erledigen und noch für meine Reisekosten selbst aufzukommen. Ich bin mit dem Studiengang verbunden, nicht mit der Hochschule oder dem Land Brandenburg, welches die Hochschule finanziert.
Der Studiengang hat nicht soo viele Studenten, dafür gefühlt unendlich viele Wahlpflichtfächer. Während ein Student mindestens 3 WPF besuchen muss, werden laut SecMan-Website stolze 14 WPF angeboten. Klar, kostet den Studiengang nichts – und man kann sein Angebot breit aufstellen. Aber dafür sinken die Studizahlen pro WPF drastisch. Dazu finden sich in der Liste in meinen Augen – sorry, falls das jetzt jemand von der Studiengangsleitung liest – blödsinnige WPFs: Entweder passen sie nicht zu Security Management oder sollten eigentlich Kernbestandteil der Grundlagenvorlesung sein. Das war früher nicht so.
Meine persönlichen Bezugspersonen sind alle weg. Die ehemalige Studiengangsleitung (Prof. Dr. Sachar Paulus & Prof. Dr. Friedrich Holl) sowie der ehemalige langjährige Studiengangskoordinator sind geangen.
Ich möchte mein Engagement an der THB bzw. im SecMan auf die jährlichen Alumni-Treffen der ehemaligen Absolventen konzentrieren.

An alle meine ehemaligen Studis: Vielen Dank an euch, hat Spaß gemacht!

50%-Gutschein der binsec-academy.com für das „Pentest Training“

8. September 2017 by Patrick Sauer Leave a Comment

Es ist bald soweit. Die binsec academy startet in den nächsten 2-3 Monaten mit dem ersten Online-Schulungskurs: Dem „Pentest Training“ – hacke die Dubius Payment Ltd.:

https://binsec-academy.com/courses/p/

Wer sich jetzt an dem Portal als Interessent registriert und sich bei mir oder direkt bei der binsec GmbH meldet (E-Mail: info@binsec.com) bekommt einen 50%-Gutschein. Unverbindliche Registrierung unter:

https://binsec-academy.com/portal/register/user/

(Aktion gültig bis Ende September 2017. Auf 100 Gutscheine beschränkt.)

Ergänzung vom 5. April 2018:
Mittlerweile gibt es von der binsec academy GmbH ein „Pentest Training“ als Online-Kurs zum Selbststudium:
https://binsec-academy.com/de/courses/p/
Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/
(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

Entschlüsselung von Passwort-Hashes ist unmöglich, auch im Fall von sha1 und md5.

5. September 2017 by Patrick Sauer 1 Comment

Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen.

Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:

„Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.“

Quelle: https://www.heise.de/security/meldung/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html

Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:

„Wir haben das base64 verschlüsselt.“

„Die Passwörter liegen sha512 verschlüsselt in der Datenbank.“

„Welchen Algorithmus verwenden Sie zur Verschlüsselung?“ – „SSL“

Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschlüsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passwörter verschlüsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn man sie nicht verschlüsselt, kann man sie auch nicht entschlüsseln. Nur vielleicht erraten und cracken..

Best of Pentest-Akquise

20. Juli 2017 by Patrick Sauer Leave a Comment

Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben):

„Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. Das ist einfach zu teuer.“

TOP!

WPF Penetration Testing als Online-Kurs an der Hochschule Darmstadt ab WS17/18

19. Juli 2017 by Patrick Sauer 3 Comments

In den letzten beiden Semestern wurde das Wahlpflichtfach Penetration Testing an der Hochschule Darmstadt als reguläre Präsenzveranstaltung von uns angeboten. Nachdem Dominik Sauer im WS 2017/18 die Lehrveranstaltung „Internet-Sicherheit“ und ich „IT-Sicherheitsmanagement und Compliance“ halte, wird es keine Präsenzveranstaltung für „Penetration Testing“ geben. Stattdessen werden wir im Rahmen der Zusammenarbeit mit der binsec GmbH die gesamte Veranstaltung als Online-Kurs über binsec-academy.com anbieten, inklusive ausführlichen Unterlagen und dem bisher bekannten Pentest-Labor.

Diese Veranstaltung ist insbesondere für Studenten geeignet, die gerne Inhalte autodidaktisch ohne körperliche Anwesenheit in einer Präsenzveranstaltung lernen. Bisher ist geplant, dass diese Lehrveranstaltung abwechselnd im Wintersemester als Online-Kurs und im Sommersemester als reguläre Vorlesung angeboten wird. Die Prüfungsform wird bei beiden Veranstaltunsmodi weiterhin Hausarbeit (ein Pentest-Bericht) sowie Klausur (50% Multiple Choice, 50% Freitextfragen) sein.

Der dümmste Täuschungsversuch

23. Juni 2017 by Patrick Sauer 1 Comment

Überrascht. Schockiert. Entsetzt: Wir haben im WPF Penetration Testing an der HDA einen besonders dreisten Täuschungsversuch erlebt. Der Abschlussbericht für das Praktikum wurde 1:1 von einem Team des Vorjahres kopiert. Also gut, die Namen wurden geändert und Bilder entfernt. Wow. Design ändern? Texte ändern? Wohl zu aufwendig.

Ich weiß ja nicht, wie aktuell in der Schule und im Studium kopiert und geschummelt wird, aber offensichtlich scheint die Kreativität bei manchen Studenten doch deutlich nachgelassen zu haben. Also wir haben – ich natürlich nicht … – damals die Werke anderer als „Vorlage“ genommen: Die Texte umformuliert. Vielleicht um 1-2 andere Aspekte ergänzt oder besonders kreativ – etwas falsches hinzugefügt. Und insbesondere haben wir nicht ganze Word-Designs von anderen übernommen. Selbst Guttenberg hat seine Doktorarbeit nicht exakt 1:1 von jemand anderem kopiert.

Sorry, echt, aber eine 5.0 und durchgefallen reicht dafür gar nicht. Studenten, die sich durch besonders dumme Täuschungsversuche auszeichnen, sollten einen besonderen Darwin Award für Plagiate bekommen…

Vorlesung „IT-Sicherheitsmanagement und Compliance“ als Master-WPF an der Hochschule Darmstadt

20. Juni 2017 by Patrick Sauer Leave a Comment

Ab dem Wintersemester 2017/18 wird an der Hochschule Darmstadt das Master-Wahlpflichtfach „IT-Sicherheitsmanagement und Compliance“ angeboten und ich freue mich sehr darauf, diese Vorlesung übernehmen zu dürfen.

Ehemals wurde das Fach angeboten als „Compliance und IT-Sicherheit“, aber nicht mehr gehalten:

https://obs.fbi.h-da.de/mhb/modul.php?nr=41.4828

Ich persönlich fand die Zusammenführung von Compliance-Themen und (technische) IT-Sicherheit als unglücklich: MaRisk und Ethical Hacking in einer Vorlesung passen thematisch nicht zusammen. Als Ergebnis hat sich der Schwerpunkt des Moduls in die Mitte verlagert: „IT-Sicherheitsmanagement und Compliance“..

https://obs.fbi.h-da.de/mhb/modul.php?nr=41.5020&sem=20172

..mit folgenden Lerninhalten:

Management Systeme & Standards (ISO 2700x, BSI Grundschutz, etc.)

Risikoanalysen (quantitativ, qualitativ)

Aufbau und Struktur IT-Sicherheitsorganisation

Rechtliche und regulatorische Themen (BDSG, MaRisk, PCI DSS, etc.)

Sicherheitsrichtlinien und -standards im Unternehmen

Wirtschaftliche Überlegungen zur Maßnahmenauswahl

konkrete IT-Sicherheitsprozesse (wie z.B. Berechtigungsmanagement, Notfallvorsorge, Security Incident Management, etc.)

Personenzertifizierungen (CISSP, CISM, CISA, etc.)

Vermittlung praktischer Erfahrungen.

Das Fach wird als Blockveranstaltung angeboten werden. An der konzeptionellen Umsetzung arbeite ich noch. Sicher ist nur: Es gibt keinen Frontalunterricht, die offizielle Arbeitsform ist „Seminaristische Vorlesung (Gruppenarbeit und Praktikum integriert)“.

Ergebnis Lehrveranstaltungsevaluation Penetration Testing (SS17) HDA

10. Juni 2017 by Patrick Sauer Leave a Comment

Wie im Wintersemester 2016/17 hatten wir (primär Dominik Sauer) auch im Sommersemester 2017 an der HDA (Hochschule Darmstadt) die Vorlesung Penetration Testing gehalten. Die Evaluation fand relativ früh statt. Die Note zum Gesamteindruck war letztes Semester 1,2 – Link zum Blogeintrag Evaluation WS16/17. Das Ergebnis war zwar damals schon sehr sehr gut, aber man findet immer Verbesserungspotential. Ein wenig Feinschliff an der Konzeptumsetzung hat nun folgendes Gesamtergebnis gebracht:

Note zum Gesamteindruck der Vorlesung: 1,06
Note zum Gesamteindruck des Praktikums: 1,0

Ich freue mich sehr über das Ergebnis. Die Bewertung hätte kaum besser sein können. Die etwas komplexeren Auswertungen im Detail:

Download PDF 1/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerD)
Download PDF 2/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerP)
Download PDF 3/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerD)
Download PDF 4/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerP)

Das WPF „Penetration Testing“ wird im Wintersemester 2017/18 nicht angeboten werden, zumindest nicht als reguläre Präsenzveranstaltung. Sowohl Dominik Sauer als auch ich werden uns im kommenden Semester in der Lehre auf andere Themen konzentrieren.

EU-Datenschutz-Grundverordnung zeigt Wirkung

1. Juni 2017 by Patrick Sauer 1 Comment

Das deutsche BDSG bzw. die alte EU-Datenschutzrichtlinie 95/46/EG war mehr ein Papiertiger. Die Bußgeldvorschriften nach §43 BSDG relativ harmlos. Eine sehr große Zahl von kleinen und mittelständischen Unternehmen schafft es heute noch, das BDSG relativ gut ignorieren zu können. Selbst große Unternehmen „leben“ ganz gut mit dem BDSG – sofern sie keinen hochmotivierten Datenschutzbeauftragten bestellt haben.

Die Datenschutz-Grundverordnung (DSGVO) der EU trat am 24. Mai 2016 in Kraft, wobei sie erst am 25. Mai 2018 angewendet wird. Es bleibt also noch knapp ein Jahr. Ich hätte ehrlich gesagt erwartet, dass sich die meisten Unternehmen nicht sonderlich mit dem Thema befassen. Das Gegenteil ist der Fall.

Es herrscht Unsicherheit. Teilweise sogar Nervosität.

Man kann die DSGVO kritisieren. Alleine die Tatsache, dass sie eigentlich mehr ein Zwitter zwischen EU-Verordnung und EU-Richtlinie als eine richtige EU-Verordnung ist, kann man als großen Fehlgriff von politischer und juristischer Schwachsinnigkeit bezeichnen. Manche meinen, dass die DSGVO die schlechteste Gesetzgebung der EU überhaupt ist. Auch inhaltlich gibt es Kritikpunkte. Ich stimme den meisten zu. Aber: Der Zweck heiligt die Mittel und es scheint zu funktionieren.

Warum?

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]

Artikel 83, DSGVO Absatz 4

Aber da geht noch mehr oder? Ja da geht noch mehr..

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]

Artikel 83, DSGVO Absatz 5

Je nach Sachverhalt 2% oder 4% des weltweiten Konzernumsatzes ist schmerzhaft. Wirklich schmerzhaft. Da können auch hartgesottene Geschäftsführer und Vorstände nervös werden, zumal sie bei bewusster Missachtung der DSGVO bzw. bei grober Vernachlässigung ihrer Pflichten für entstehende finanziellen Schäden selbst haftbar gemacht werden können.

Man wird in den nächsten Jahren oder besser Jahrzehnten sehen müssen, wie hoch die Bußgelder in der Praxis ausfallen und wie Gerichte dazu entscheiden werden. Unabhängig davon, zeigt die Datenschutz-Grundverordnung allein durch die theoretischen, sehr hohen Bußgelder bereits Wirkung.