Pentest Training

21 02, 2019

BACSCP: Die Entstehung des Secure Coding Trainings

von |21. Februar 2019|binsec|0 Kommentare|

Jedes Semester schließen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angehören. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und für Sicherheitsmaßnahmen in deren Softwareprodukten zu sorgen.

Die Geschichte unserer neuartigen Online-Schulung begann vor ein paar Jahren mit einer Kundenanfrage bezüglich einer OWASP-Entwicklerschulung zu sicherer Softwareentwicklung. Als PCI-DSS-zertifiziertes Unternehmen musste unser Kunde jährlich nachweisen, dass sich seine Softwareentwickler im Rahmen der aktuellen Techniken zur sicheren Programmierung fortbilden. Natürlich hätte als Nachweis auch eine Bescheinigung darüber genügt, ein Buch gelesen oder an einem Vortrag (passiv) teilgenommen zu haben… So etwas kann aber weder im Sinne des PCI DSS noch im Sinne der Softwareentwickler sein.

So kam es dazu, dass wir als binsec einen 2-Tages-Workshop konzipierten, zu gleichen Teilen aus Theorie- und aus Praxiselementen aufgebaut. Während wir am ersten Tag auf die Anforderungen des PCI-DSS an Softwareentwickler und auf die OWASP Top 10 eingingen, musste jeder Schulungsteilnehmer am zweiten Tag eine verwundbare Webanwendung härten und anschließend versuchen, die in den Anwendungen seiner Kollegen verbliebenen Schwachstellen auszunutzen. Mit jedem erfolgreichen Angriff sammelten die Teilnehmer Punkte und kamen damit dem Gewinn der Siegesprämie – eines Amazon Gutscheins – Schritt für Schritt näher. Unterm Strich verlief der erste Teil des Trainings durchaus erfolgreich, doch stach das positive Feedback zum zweiten Abschnitt deutlich hervor. Die Teilnehmer waren fokussiert und engagiert sich gegenseitig „auszuspielen“, weshalb ihre Rückmeldung für uns nicht überraschend kam: „Weniger Theorie, mehr Praxis, bitte.“

Wir begannen parallel zu dieser Entwicklerschulung, diverse Lehrveranstaltungen an Hochschulen zu halten, in denen wir sukzessive den Praxisanteil in den Vordergrund rückten. Wie schon bei unserer Vorlesung zu Penetration-Testing, aus der unser Zertifizierungslehrgang „Binsec Academy Certified Pentest Professional (BACPP)“ hervorgegangen ist, entschieden wir als binsec uns auch bei unserer Entwicklerschulung „Secure Software Development Training“ dazu, sie zur Basis von etwas Neuem zu machen: Es schlug die Geburtsstunde des „Secure Coding Trainings“ der binsec academy:

In dieser Online-Schulung zu Secure Coding schlüpft der Teilnehmer in die Rolle eines Teamleiters, dem die Aufgabe zuteilwird, in einer verwundbaren REST-API die am meisten verbreiteten Schwachstellen (OWASP TOP 10) zu identifizieren und diese im Programmcode zu beheben. Der Clou dabei ist: Der Teilnehmer kann als Programmiersprache PHP, Java, Python, Perl, Go, Ruby oder Node.js wählen und wird mit unserem BACSCP-Zertifikat (Binsec Academy Certified Secure Coding Professional) belohnt, wenn mindestens acht von insgesamt zehn Sicherheitslücken erfolgreich entfernt wurden. Zertifizierte BACSCPler können

  • die am meisten verbreiteten Schwachstellen in Webanwendungen identifizieren und Sicherheitslösungen entwerfen,
  • eine Webanwendung gemäß OWASP und PCI DSS sicher entwickeln, sowie
  • einen Secure-Code-Review strukturiert durchführen.

Nach den ersten Betatests erweiterten wir die Kooperation mit Hochschulen, um Studierenden der Informatik die Inhalte sicherer Softwareentwicklung zu vermitteln. Wir hoffen hiermit einen wesentlichen Beitrag zur anwendungsorientierten IT-Sicherheit leisten zu können.

25 01, 2019

20% Studentenrabatt auf Kurse der binsec academy GmbH

von |25. Januar 2019|binsec|0 Kommentare|

Ab sofort erhalten Studenten 20% Preisnachlass auf alle Online-Schulungen der binsec academy GmbH: Einfach unter https://binsec-academy.com/de/promo/student/ (unverbindlich) mit der studentischen E-Mail-Adresse der Hochschule registrieren und automatisch einen 20%-Gutschein erhalten. Der Gutschein ist nach der Registrierung 30 Tage gültig.

26 09, 2018

Hacking vs. Penetration Testing – die Geburtsstunde des BACPP

von |26. September 2018|binsec|0 Kommentare|

Als Dozent für „Penetration Testing“ kenne ich den ausschlaggebenden Beweggrund meiner Studentinnen und Studenten für ihre Teilnahme am Wahlpflichtfach nur zu gut. Die Rede ist von „Hacking“. Bereits in jungen Jahren für viele ein spannendes Thema – brennt sich das Hacken von IT-Systemen doch durch seine Darstellung in Film und Fernsehen schon früh als aufregend in die Köpfe der Zuschauer ein. Es ist somit kein Wunder, dass ein beruflicher Weg hin zum Penetrationstester mehr als verlockend klingt. Was viele dabei nicht wissen: Hacking stellt „nur“ den technischen Part eines Pentests dar, weshalb sich auch die Suche nach einer geeigneten Personenzertifizierung als schwierig gestaltet(e).

Im Allgemeinen versuchen Hacker Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Das Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenmaßnahme seitens der IT-Sicherheit im Wettrüsten mit den Angreifern: Potenzielle Auftraggeber bitten bzw. beauftragen Pentester mit der Identifizierung der Schwachstellen ihrer IT-Systeme, um diese am Ende härten bzw. schließen zu können.

Hierbei wendet ein Pentester konsequenterweise dieselben technischen Verfahren an wie ein böswilliger Angreifer. Aber nicht nur das. Zusätzlich wird eine strukturierte Vorgehensweise benötigt, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise können (offensichtliche) Schwachstellen unentdeckt bleiben. Im Gegensatz zu einem Hacker genügt dem Pentester nicht ein einziger Einstiegspunkt in das IT-System, sondern er will alle aufdecken. Ebenso müssen die identifizierten Schwachstellen dem Auftraggeber mitgeteilt werden. Dies geschieht üblicherweise in einem abschließenden Bericht oder in einer Präsentation, wobei die Schwachstellen nicht nur aufzulisten, sondern auch nach ihrem Risiko zu priorisieren sind. Folglich stellt Hacking „nur“ den technischen Part in einem Pentest dar.

Bis dato existiert weder eine staatlich anerkannte Ausbildung noch ein solcher Studiengang zum Penetration-Testing, weshalb es im Informationssicherheitssektor üblich ist, solche speziellen Fähigkeiten und Fertigkeiten über Zertifizierungsprogramme zu erlangen und/oder nachzuweisen. Im Hinblick auf Penetration Testing sind insbesondere die Zertifikate CEH von EC-Council und OSCP von Offensive Security weit verbreitet – unterscheiden sich in der Prüfung der Teilnehmenden jedoch wie Schwarz und Weiß. Während die Zertifizierung als CEH mittels einer theoretischen Prüfung – konkret Multiple-Choice-Aufgaben – erlangt werden kann, muss der zukünftige OSCPler eine 24-stündige praktische Prüfung, in welcher 5 IT-Systeme vollständig kompromittiert werden sollen, absolvieren. Unabhängig davon sehe ich bei beiden Zertifizierungen den Fokus auf dem technischen Verständnis, welches zwar das Fundament eines Penetrationstests darstellt, aber noch zu keinem befähigt; für mich ein Kritikpunkt, ohne den Schwierigkeitsgrad beider Prüfungen infrage stellen zu wollen.

Zumindest mir fiel der Übergang von der OSCP-Prüfungsumgebung in die Realität schwer. Am spürbarsten war dies in Bezug auf die Anfälligkeit von IT-Systemen für Sicherheitslücken. Im Vergleich zum Übungslabor von Offensive Security sind in der Praxis oftmals (härtere) Sicherheitsmaßnahmen anzutreffen, wodurch die vollständige Kompromittierung eines IT-Systems nicht immer gewährleistet werden kann. Zudem wünscht sich der Auftraggeber eines Pentests im Regelfall die Identifikation sämtlicher Schwachstellen in seinen IT-Systemen, weshalb die Prüfung nicht mit dem Aufdecken des erstbesten Einfallstors endet. Auch die Berichterstellung steht in einem ganz anderen Licht, da dies das einzige Dokument ist, welches der Auftraggeber in seinen Händen halten wird. Kurzum: Das Spielparadies des OSCP nahm ein Ende und die Realität brach ein. Leider kam dies unerwartet, da keine der zahlreichen zurate gezogenen Rezensionen im Internet die Unterschiede zum realen Tätigkeitsfeld eines Penetrationstesters erwähnt hatte.

Nachdem ich mit meinem B.Sc. in Informatik an der Hochschule Darmstadt (h_da) und mit meiner als Pentester der binsec GmbH gesammelten Berufserfahrung die formelle Eignung erworben hatte, eine Lehrveranstaltung zu halten, wollte ich mein Wissen rund um Penetration Testing weitergeben. Personen mit einem Hang zur IT-Sicherheit sollten künftig einen „leichteren“ Einstieg in die Materie erhalten als ich zu meiner Zeit. Unter Zustimmung der Fachgruppe „IT-Sicherheit“ an der h_da konzipierte ich das Wahlpflichtmodul „Penetration Testing“, in welchem die Studierenden das „Pentest-Einmaleins“ – von der Klassifikation eines Pentests, über das eigentliche Hacking, bis hin zur Berichterstellung – am Beispiel eines fiktiven Firmennetzwerks erlernen und anwenden können. Dies geschah anfänglich noch mithilfe von Amazon AWS; doch aufgrund der großen Nachfrage und positiven Resonanz meiner Studierenden entschlossen wir als binsec uns dazu, ein globales Online-Zertifizierungsprogramm zu entwerfen: die Qualifizierung zum BACPP (Binsec Academy Certified Pentest Professional), die sich aus einer Online-Prüfung, dem „Pentest Exam“, und einer optionalen Online-Schulung, dem „Pentest Training“, zusammensetzt.

Während sich die Online-Schulung historisch aus meiner Hochschullehrveranstaltung heraus entwickelt hat, können IT-Spezialisten im „Pentest Exam“ ihre Expertise unter neu konzipierten, realen Bedingungen unter Beweis stellen. So können zertifizierte BACPPler

  • IT-Systeme kompromittieren und Zero-Day-Exploits entwickeln,
  • Netzwerke und Anwendungen nach einer reproduzierbaren Vorgehensweise auf Schwachstellen hin untersuchen,
  • all ihre Findings in einem strukturierten Bericht für den Auftraggeber niederlegen und sie nach ihrem Risiko priorisieren,
  • einen mehrtägigen Penetrationstest professionell durchführen.

Rückblickend scheint sich meine (zeitintensive) interdisziplinäre Arbeit gelohnt zu haben: Das situierte Lernen in der Informationssicherheit einzusetzen hat nicht nur die Begeisterung vieler Studierender geweckt, sondern auch die ersten BACPP-Zertifizierten angesprochen. Die Theorie des situierten Lernens setzt in der Wissensvermittlung auf realistische Anwendungssituationen, welche das primäre Kennzeichen meiner Lehrveranstaltungen und meiner Trainings sind. Analog wurde der BACPP konzipiert und setzt auf den Nachweis praktischer und realer Erfahrung.

18 07, 2018

binsec academy GmbH: Pentest Training

von |18. Juli 2018|binsec|3 Kommentare|

Mein Team und ich haben lange daran gearbeitet, aber seit März 2018 ist das „Pentest Training“ sowie das „Pentest Exam“ der binsec academy GmbH öffentlich verfügbar.

https://binsec-academy.com/de/courses/p/ (Privatkunden)

https://binsec-academy.com/de/courses/c/ (Firmenkunden)

Historisch ist das „Pentest Training“ dabei durch die von Dominik Sauer an der Hochschule Darmstadt gehaltene Vorlesung zu „Penetration Testing“ entstanden. Das Training fokussiert sich auf Penetration Testing und nicht nur auf reines Hacking, wie z.B. der bekannte OSCP-Kurs von „Offensive Security“. Wir haben auch ein System implementiert, bei dem man sich Tipps zu Maschinen oder Problemen besorgen kann. Garniert wird das ganze Konzept durch eine realistischere Laborumgebung: Das fiktive Firmennetzwerk der „Dubius Payment Ltd.“ inklusive Story. Wer möchte und es sich fachlich zutraut, kann im zusätzlichen „Pentest Exam“ die Zertifizierung zum BACPP (Binsec Academy Certified Pentest Professional) in Angriff nehmen.

Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/

(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)