{"id":2616,"date":"2018-09-26T14:39:41","date_gmt":"2018-09-26T12:39:41","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=2616"},"modified":"2019-02-21T13:02:37","modified_gmt":"2019-02-21T11:02:37","slug":"hacking-vs-penetration-testing-bacpp","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/binsec\/hacking-vs-penetration-testing-bacpp\/","title":{"rendered":"Hacking vs. Penetration Testing – die Geburtsstunde des BACPP"},"content":{"rendered":"

Als Dozent<\/a> f\u00fcr \u201ePenetration Testing\u201c kenne ich den ausschlaggebenden Beweggrund meiner Studentinnen und Studenten f\u00fcr ihre Teilnahme am Wahlpflichtfach nur zu gut. Die Rede ist von \u201eHacking\u201c. Bereits in jungen Jahren f\u00fcr viele ein spannendes Thema – brennt sich das Hacken von IT-Systemen doch durch seine Darstellung in Film und Fernsehen schon fr\u00fch als aufregend in die K\u00f6pfe der Zuschauer ein. Es ist somit kein Wunder, dass ein beruflicher Weg hin zum Penetrationstester mehr als verlockend klingt. Was viele dabei nicht wissen: Hacking stellt \u201enur\u201c den technischen Part eines Pentests dar, weshalb sich auch die Suche nach einer geeigneten Personenzertifizierung als schwierig gestaltet(e).<\/em><\/p>\n

\n

Im Allgemeinen versuchen Hacker Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Das Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenma\u00dfnahme seitens der IT-Sicherheit im Wettr\u00fcsten mit den Angreifern: Potenzielle Auftraggeber bitten bzw. beauftragen Pentester mit der Identifizierung der Schwachstellen ihrer IT-Systeme, um diese am Ende h\u00e4rten bzw. schlie\u00dfen zu k\u00f6nnen.<\/p>\n

Hierbei wendet ein Pentester konsequenterweise dieselben technischen Verfahren an wie ein b\u00f6swilliger Angreifer. Aber nicht nur das. Zus\u00e4tzlich wird eine strukturierte Vorgehensweise ben\u00f6tigt, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise k\u00f6nnen (offensichtliche) Schwachstellen unentdeckt bleiben. Im Gegensatz zu einem Hacker gen\u00fcgt dem Pentester nicht ein einziger Einstiegspunkt in das IT-System, sondern er will alle aufdecken. Ebenso m\u00fcssen die identifizierten Schwachstellen dem Auftraggeber mitgeteilt werden. Dies geschieht \u00fcblicherweise in einem abschlie\u00dfenden Bericht oder in einer Pr\u00e4sentation, wobei die Schwachstellen nicht nur aufzulisten, sondern auch nach ihrem Risiko zu priorisieren sind. Folglich stellt Hacking \u201enur\u201c den technischen Part in einem Pentest dar.<\/p>\n

Bis dato existiert weder eine staatlich anerkannte Ausbildung noch ein solcher Studiengang zum Penetration-Testing, weshalb es im Informationssicherheitssektor \u00fcblich ist, solche speziellen F\u00e4higkeiten und Fertigkeiten \u00fcber Zertifizierungsprogramme zu erlangen und\/oder nachzuweisen. Im Hinblick auf Penetration Testing sind insbesondere die Zertifikate CEH von EC-Council und OSCP von Offensive Security weit verbreitet – unterscheiden sich in der Pr\u00fcfung der Teilnehmenden jedoch wie Schwarz und Wei\u00df. W\u00e4hrend die Zertifizierung als CEH mittels einer theoretischen Pr\u00fcfung – konkret Multiple-Choice-Aufgaben – erlangt werden kann, muss der zuk\u00fcnftige OSCPler eine 24-st\u00fcndige praktische Pr\u00fcfung, in welcher 5 IT-Systeme vollst\u00e4ndig kompromittiert werden sollen, absolvieren. Unabh\u00e4ngig davon sehe ich bei beiden Zertifizierungen den Fokus auf dem technischen Verst\u00e4ndnis, welches zwar das Fundament eines Penetrationstests darstellt, aber noch zu keinem bef\u00e4higt; f\u00fcr mich ein Kritikpunkt, ohne den Schwierigkeitsgrad beider Pr\u00fcfungen infrage stellen zu wollen.<\/p>\n

Zumindest mir fiel der \u00dcbergang von der OSCP-Pr\u00fcfungsumgebung in die Realit\u00e4t schwer. Am sp\u00fcrbarsten war dies in Bezug auf die Anf\u00e4lligkeit von IT-Systemen f\u00fcr Sicherheitsl\u00fccken. Im Vergleich zum \u00dcbungslabor von Offensive Security sind in der Praxis oftmals (h\u00e4rtere) Sicherheitsma\u00dfnahmen anzutreffen, wodurch die vollst\u00e4ndige Kompromittierung eines IT-Systems nicht immer gew\u00e4hrleistet werden kann. Zudem w\u00fcnscht sich der Auftraggeber eines Pentests im Regelfall die Identifikation s\u00e4mtlicher Schwachstellen in seinen IT-Systemen, weshalb die Pr\u00fcfung nicht mit dem Aufdecken des erstbesten Einfallstors endet. Auch die Berichterstellung steht in einem ganz anderen Licht, da dies das einzige Dokument ist, welches der Auftraggeber in seinen H\u00e4nden halten wird. Kurzum: Das Spielparadies des OSCP nahm ein Ende und die Realit\u00e4t brach ein. Leider kam dies unerwartet, da keine der zahlreichen zurate gezogenen Rezensionen im Internet die Unterschiede zum realen T\u00e4tigkeitsfeld eines Penetrationstesters erw\u00e4hnt hatte.<\/p>\n

Nachdem ich mit meinem B.Sc. in Informatik an der Hochschule Darmstadt (h_da) und mit meiner als Pentester der binsec GmbH gesammelten Berufserfahrung die formelle Eignung erworben hatte, eine Lehrveranstaltung zu halten, wollte ich mein Wissen rund um Penetration Testing weitergeben. Personen mit einem Hang zur IT-Sicherheit sollten k\u00fcnftig einen \u201eleichteren\u201c Einstieg in die Materie erhalten als ich zu meiner Zeit. Unter Zustimmung der Fachgruppe \u201eIT-Sicherheit\u201c an der h_da konzipierte ich das Wahlpflichtmodul \u201ePenetration Testing\u201c, in welchem die Studierenden das \u201ePentest-Einmaleins\u201c – von der Klassifikation eines Pentests, \u00fcber das eigentliche Hacking, bis hin zur Berichterstellung – am Beispiel eines fiktiven Firmennetzwerks erlernen und anwenden k\u00f6nnen. Dies geschah anf\u00e4nglich noch mithilfe von Amazon AWS; doch aufgrund der gro\u00dfen Nachfrage und positiven Resonanz meiner Studierenden entschlossen wir als binsec uns dazu, ein globales Online-Zertifizierungsprogramm zu entwerfen: die Qualifizierung zum BACPP (Binsec Academy Certified Pentest Professional), die sich aus einer Online-Pr\u00fcfung, dem \u201ePentest Exam\u201c, und einer optionalen Online-Schulung, dem \u201ePentest Training\u201c, zusammensetzt.<\/p>\n

W\u00e4hrend sich die Online-Schulung historisch aus meiner Hochschullehrveranstaltung heraus entwickelt hat, k\u00f6nnen IT-Spezialisten im \u201ePentest Exam<\/a>\u201c ihre Expertise unter neu konzipierten, realen Bedingungen unter Beweis stellen. So k\u00f6nnen zertifizierte BACPPler<\/p>\n