Penetrationstester: Angreifer im Dienste des Guten
Kriminelle nutzen für Attacken sowohl technische Schwachstellen als auch die Gutmütigkeit der Menschen. Die Gegenseite geht ebenso vor, erzählt ein Pentester.
(Bild: JARIRIYAWAT/Shutterstock.com)
"Mein Name ist Steffen Stepper, ich bin 32 Jahre und arbeite als IT-Security Consultant. Mein Arbeitgeber, die SySS GmbH, ist spezialisiert auf Penetrationstests. Deren Ziel ist es, technische Schwachstellen in IT-Infrastrukturen zu finden und unseren Auftraggebern, das sind große Unternehmen aus nahezu allen Branchen, Empfehlungen zu geben, wie diese Lücken zu beheben sind. Wir führen aber auch Red Teaming Assessments durch. Diese Methode stammt ursprünglich aus dem amerikanischen Militär und ist eine Übung, bei der ein Red Team, die Angreifer, und ein Blue Team, die Verteidiger, ihre Kräfte messen. Das Blue Team ist Teil des Unternehmens, das wir testen.
Neben der technischen Infrastruktur werden beim Red Teaming Prozesse, die Sensibilität und das Know-how der Mitarbeitenden hinsichtlich IT-Security in die Angriffe einbezogen. Ich suche die Schwachstellen und versuche, diese auszunutzen. Der Kunde setzt uns bestimmte Ziele, zum Beispiel: "Übernehmen Sie das Active Directory" oder "Verschaffen Sie sich Zugang zum Serverraum". Ob dabei alle möglichen Methoden verwendet werden dürfen oder bestimmte Angriffstechniken ausgeschlossen werden, legen wir mit dem Auftraggeber vorab fest.
Vor Ort und Remote eingedrungen
Den letzten Angriff habe ich mit einem Kollegen durchgeführt. Hacking ist Teamarbeit. In dem Unternehmen haben wir uns über Social Engineering Zugang zum Netzwerk verschafft. Einer von uns hat sich telefonisch bei der Hotline im IT-Support gemeldet, sich als Mitarbeitender ausgegeben und "sein" Passwort zurücksetzen lassen. Remote haben wir so Zugang ins Netzwerk erhalten.
Der andere ist zum Unternehmen gefahren und eingebrochen. Das funktioniert weitaus weniger rabiat und zerstörerisch, als es vielleicht klingt. Tatsächlich ist er mit anderen Angestellten durch die offene Tür am Empfang vorbei ins Gebäude gelaufen. Der Zugang wie auch der Aufenthalt in der Firma waren ganz einfach. So hatten wir mehrere Möglichkeiten, uns im Netzwerk zu persistieren. Daraufhin haben wir Angriffe im Netzwerk durchgeführt, um unsere Berechtigungen immer mehr auszuweiten. Der Kerberos-Angriff hat funktioniert: Wir bekamen die Hoheit über das Netzwerk. Auch auf anderem Wege konnten wir zeigen, dass wir die komplette IT im Unternehmen in unsere Hände bekommen können. Die Firmenleitung war schockiert. Innerhalb von 25 Tagen hatten wir das Unternehmen mit mehreren tausenden Beschäftigten in der Hand.
Während meines Informatik-Studiums habe ich an einem Live-Hacking-Vortrag des SySS-Geschäftsführers teilgenommen. Fortan hat mich Hacking interessiert. Vor fünf Jahren fing ich dann bei der SySS an. Heute leite ich die Abteilung Red Teaming, wir sind fünf Leute. Wir greifen Unternehmen mit unterschiedlichen Methoden an, von Phishing über technische Angriffe bis hin zur Überwindung der physischen Gebäudesicherheit. Einer aus dem Team führt immer einen Angriff an, die anderen unterstützen. Das erhöht die Erfolgsaussichten.
Phishing funktioniert fast immer
Aus dem Internet kommen wir oft nur schwer in ein Netzwerk. Das zeigt, dass das Sicherheitsniveau öffentlich erreichbarer Systeme immer besser wird. Werden aber Prozesse und Menschen in den Angriff einbezogen, stellen wir fest, dass Phishing, also etwa gefälschte E-Mails, fast immer funktionieren. Schwachstellen lassen sich aber nicht pauschalieren. Deshalb hängen unsere Angriffsversuche davon ab, auf was wir treffen. Könnten wir uns etwa in Office 365 allein mit Benutzernamen und Passwort ohne zweiten Faktor einloggen, dann starten wir einen Passwortrateangriff, nachdem wir die Konto-Namensstruktur herausgefunden haben. Dasselbe versuchen wir in Netzwerkverbindungen. Wenn wir technisch keine offene Tür finden, greifen wir über Menschen an.
Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Angst oder Respekt vor Autorität ausgenutzt, um Personen zu manipulieren. Das ist ein ethisch schwieriges Thema, deshalb haben wir für unsere Social-Engineering-Tests eine Berufsethik erstellt. Die besagt, dass wir keine einzelne Person im Ziel haben, sondern immer die gesamte Firma.
Keine Einzelpersonen bloßstellen
Ich selbst versuche bei Red-Teaming-Tests mit möglichst wenig persönlichem Kontakt zu anderen Menschen vorzugehen. Um in eine Firma einzudringen, laufe ich etwa einer Rauchergruppe einfach hinterher. Ich bewege mich möglichst unauffällig, weil das erstens reicht, um einzudringen und weil ich zweitens keine einzelne Person anlügen oder bloßstellen muss. Fachlich ist es aber auch gar nicht notwendig, weil wir dem Kunden Ergebnisse liefern wollen, mit denen er sein Unternehmen gegen Angriffe sicherer machen kann. Ihm zu sagen, Mitarbeiter XY verhält sich falsch, hilft dabei wenig. Würde dieser Person gekündigt, dann wäre der Angriff eben bei einer anderen Person erfolgreich. Viel zielführender als Beschuldigungen oder Sanktionen sind ein Sicherheitsbewusstsein bei allen Beschäftigten zu schaffen.
Obwohl ich in meine Angriffe regelmäßig Social Engineering einbaue, muss ich vor allem die IT verstehen. Ich muss wissen, wie bestimmte Systeme und Techniken funktionieren, wo sie ihre Schwachstellen haben und wie sie angreifbar sind. Das sind die wesentlichen Skills eines Sicherheitsexperten. Der Vergleich mit einem Detektiv trifft meine Arbeit ganz gut. Hacker müssen ganz genau hinschauen, auch sehr tief, um die Lösung für einen Angriff – die Lücke im System – zu finden. Ich beiße mich gerne in einer Herausforderung fest und lasse nicht locker, bis ich die Lösung gefunden habe. Das hilft mir bei meiner Arbeit sehr."
Dieser Artikel ist Teil einer Reihe aus dem Bereich Karriere und Arbeitsmarkt, in dem Menschen ihren aktuellen Job vorstellen.
(axk)
