Penetration Testing – InfoSec Blog | Patrick Sauer & Dominik Sauer

Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests

2. Juli 2019 by Dominik Sauer 1 Comment

It is worth mentioning that automated methods are much faster in performing the security analysis.
Alavi, Bessler und Massoth 2018

Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht dies bei Vulnerability-Scannern rein automatisiert, welche lediglich von einem Anwender konfiguriert und gestartet werden müssen. Wegen den geringeren personellen Ressourcen sollten Kunden beim Einkauf eines Pentests Acht geben, nicht mit einem aufbereiteten Vulnerability-Scan-Report „abgespeist“ zu werden.

Inwieweit die Ergebnisse eines Vulnerability-Scanners mit einem Penetrationstest verglichen werden können, haben zwei BACPPler – Saed Alavi und Niklas Bessler – in ihrem Paper „A Comparative Evaluation of Automated Vulnerability Scans Versus Manual Penetration Tests on False-negative Errors“ gezeigt. Für ihre Analyse haben sie sich die Frage gestellt, wie viele Schwachstellen von einem Vulnerability-Scanner und einem Penetrationstester nicht als solche identifiziert werden, obwohl die Lücken vorhanden sind? Im Wissenschaftsjargon ist hier die Rede von der False-Negative-Rate (FNR). Dazu haben sie eine mit Schwachstellen übersäte IT-Infrastruktur aufgebaut und diese sowohl einem Penetrationstest als auch einem Vulnscan unterzogen. Wie – zugegebenermaßen – zu erwarten war, kamen sie zu dem Schluss, dass Penetrationstests zwar Vulnerablity-Scans beinhalten können, aber mit ihren manuellen Prüfphasen weit darüber hinaus gehen:

„Most importantly, we have seen a remarkable higher false-negative rate in the vulnerability scan, which suggests that automated methods cannot replace manual penetration testing. However, the combination of both methods is a conceivable approach.“
Alavi, Bessler und Massoth 2018

Dennoch ist der Einsatz von Vulnerability-Scannern nicht obsolet: Auch wenn die Fülle an Informationen eines Vulnerability-Scanners erst überblickt, sortiert und ausgewertet werden muss – je nach Scanner kann dies leider selbst einen Fachmann benötigen -, sind sie ein Werkzeug um die eigene IT zu härten.

Ergebnis Lehrveranstaltungsevaluation Penetration Testing (SS17) HDA

10. Juni 2017 by Patrick Sauer Leave a Comment

Wie im Wintersemester 2016/17 hatten wir (primär Dominik Sauer) auch im Sommersemester 2017 an der HDA (Hochschule Darmstadt) die Vorlesung Penetration Testing gehalten. Die Evaluation fand relativ früh statt. Die Note zum Gesamteindruck war letztes Semester 1,2 – Link zum Blogeintrag Evaluation WS16/17. Das Ergebnis war zwar damals schon sehr sehr gut, aber man findet immer Verbesserungspotential. Ein wenig Feinschliff an der Konzeptumsetzung hat nun folgendes Gesamtergebnis gebracht:

Note zum Gesamteindruck der Vorlesung: 1,06
Note zum Gesamteindruck des Praktikums: 1,0

Ich freue mich sehr über das Ergebnis. Die Bewertung hätte kaum besser sein können. Die etwas komplexeren Auswertungen im Detail:

Download PDF 1/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerD)
Download PDF 2/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerP)
Download PDF 3/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerD)
Download PDF 4/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerP)

Das WPF „Penetration Testing“ wird im Wintersemester 2017/18 nicht angeboten werden, zumindest nicht als reguläre Präsenzveranstaltung. Sowohl Dominik Sauer als auch ich werden uns im kommenden Semester in der Lehre auf andere Themen konzentrieren.

Ergebnis Lehrveranstaltungsevaluation Penetration Testing (WS16/17) HDA

17. Dezember 2016 by Patrick Sauer Leave a Comment

Im Wintersemester 2016/17 hatten wir die Lehrveranstaltung Penetration Testing als WPF an der HDA (Hochschule Darmstadt) gehalten. „Wir“ sind primär Dominik Sauer mit eher beratender Unterstützung von mir. Jetzt wurden uns die Ergebnisse der Lehrveranstaltungsevaluation für unsere Vorlesung übermittelt. Ich persönlich denke, das Ergebnis kann sich sehen lassen. Die Bewertung der Studenten auf den Punkt gebracht:

Note zum Gesamteindruck: 1,2

Ein Auszug aus den ergänzenden schriftlichen Bemerkungen der Studenten:

Die Veranstaltung bitte wieder anbieten. P.S. ein -Tag vom EvaSys mit class=“charlimit maxchars_200″ ist nicht geeignet um die Zeichen auf 200 zu begrenzen :D asdfasdfasndfasdfasdf asdfasdfaisdfasdf und weitere Zeichen asdfasdfabsdfasdfasdf asdfaesdfasdfasdsfasdfs ;)

Ich würde ja schlussfolgern, jemand hat den Inhalt der Veranstaltung verinnerlicht.

Im gesamten Studium bislang die beste Veranstaltung

Hört man als Dozent sehr gerne.

Super Veranstaltung und sehr praktisch orientiert, was durchaus sinnvoll ist.

Wir waren noch nie Fans vom klassischer Frontalunterricht… jetzt noch mein persönliches Lieblingskommentar:

Den Kurs muss man einfach erlebt haben! Wenn man einen Titel finden müsste, wäre „Phantastische Professoren und wo sie zu finden sind“ sicherlich treffend UntermStrichdiebesteVeranstaltungdesBachelors

Nein, wir haben für diese Bewertung nicht bezahlt..

Manche Studenten haben sich eine längere eigentliche Vorlesung gewünscht, andere fanden die Vorlesungsdauer perfekt. Unsere Aufgabenstellungen wären ohne Hilfe zu schwer (stimmt, deswegen gab es Hilfe). Tatsächlich fand jemand noch, ich persönlich wäre kaum anwesend gewesen – stimmt auch. Das war nicht meine Aufgabe ;-).

Wer die eigentlichen Bewertungen im sehr umfangreichen Detail lesen möchte, ist herzlich willkommen:

PDF Download 1/2: Aauswertungsbericht-Lehrveranstaltungsevaluation-WS16_17-Penetration_Testing_fbi_ws16_17_30-2572_p_sauerd.pdf

PDF Download 2/2: Auswertungsbericht-Lehrveranstaltungsevaluation-WS16_17-Penetration_Testing_fbi_ws16_17_30-2572_p_sauerp.pdf

Erfahrungen zum OSCP: Teil 1 Der Start

5. Oktober 2013 by Patrick Sauer Leave a Comment

Ich habe mich für den Kurs Penetration Testing with BackTrack (PWB) angemeldet, der – sofern erfolgreich bestanden – mit dem Zertifikat Offensive Security Certified Professional (OSCP) abschließt. Nach einem Master in Security Management und Zertifikaten wie CISSP, CISM, T.I.S.P. usw. möchte ich etwas Neues wagen: Einen Einstieg in die Welt des Penetration Testing. Komplett neu ist sie für mich nicht. Ich habe u.a. einige Jahre Erfahrung im Bereich IT-Security, hatte schon einmal mit Backtrack experimentiert und einige Reports von Penetration Testern gelesen und bewertet. Worauf ich mich jetzt aber freue ist, mir selbst die Hände schmutzig machen zu dürfen.

Auf der Website vom offensive-security.com findet sich folgende passende Beschreibung für den Kurs:

Penetration Testing with BackTrack (PWB) is an online training course designed for network administrators and security professionals who need to acquaint themselves with the world of offensive information security. This penetration testing training introduces the latest hacking tools and techniques in the field and includes remote virtual penetration testing labs for practicing the course materials.Penetration Testing with BackTrack attempts to simulate a full penetration test, from start to finish, by injecting the student into a rich, diverse, and vulnerable network environment.

Ich habe bereits meine Zugangsdaten erhalten sowie alle Kursmaterialien: Eine PDF mit 337 Seiten, einiges an Videomaterial und VPN-Keys zum Labor. Ich bin gespannt auf die Erfahrung und werde hier berichten.