David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing

Transkript

1 David Kennedy Jim O Gorman Devon Kearns Mati Aharoni Metasploit Die Kunst des Penetration Testing

2 Kapitel 1 Grundlagen des Penetrationstests Penetrationstests ermöglichen es, Methoden zu simulieren, die ein Angreifer benutzen könnte, um Sicherheitskontrollen zu umgehen und damit Zugriff auf schützenswerte Systeme zu erlangen. Ein echter Penetrationstest besteht aus weit mehr als nur dem Starten irgendwelcher Scannerprogramme und/oder automatisch laufender Instrumente und dem anschließenden Schreiben eines Berichts. Man wird auch nicht von heute auf morgen ein Experte als Penetrationstester. Es bedarf jahrelanger Erfahrung und Praxis, um wirklich sachkundig zu werden. Derzeit verändert sich die Art und Weise, wie Penetrationstests von der Sicherheitsbranche wahrgenommen werden. Der PTES (Penetration Testing Execution Standard) hat den Penetrationstest neu definiert und davon sind nicht nur neue, sondern auch erfahrene Penetrationstester betroffen. Führende Mitglieder der Sicherheitsgemeinschaft haben diesen Standard bereits übernommen. Ziel ist es, festzulegen und ein Bewusstsein dafür zu schaffen, was einen echten Penetrationstest ausmacht, und zwar durch den Beschluss einer Richtlinie mit grundlegenden Prinzipien, die erforderlich sind, um einen Penetrationstest durchzuführen. Falls Penetrationstests für Sie Neuland sind oder Ihnen der PTES nicht vertraut ist, besuchen Sie die Website um mehr darüber zu erfahren. 1.1 Die PTES-Phasen Die PTES-Phasen dienen dazu, einen Penetrationstest genau zu beschreiben und für das Unternehmen des Klienten sicherzustellen, dass sich alle involvierten Sicherheitsexperten an einen vorgegebenen Standard halten. Dieser Standard ist in sieben Kategorien unterteilt, die in Abhängigkeit von dem betroffenen Unternehmen unterschiedlich hohen Arbeitsaufwand erfordern Vorbereitungsphase In der Vorbereitungsphase findet eine Absprache mit dem Klienten statt, um den Umfang und die Bedingungen des Penetrationstests festzulegen. Dabei ist es von entscheidender Bedeutung, dass Sie das Ziel der ganzen Aktion vermitteln. Hier bietet sich auch eine gute Gelegenheit, dem Kunden zu erläutern, was von einem gründlichen, umfassenden Penetrationstest zu erwarten ist, wenn dieser ohne Beschränkungen durchgeführt wird. 27

3 Kapitel 1 Grundlagen des Penetrationstests Informationsbeschaffung Während der Informationsbeschaffungsphase sammeln Sie sämtliche Informationen über das Unternehmen, derer Sie habhaft werden können. Nutzen Sie dazu soziale Medien und Netzwerke, Google-Hacking,»Footprinting«(das Zusammentragen öffentlich verfügbarer Daten über das Angriffsziel) usw. Die Fähigkeit, etwas über ein Angriffsziel in Erfahrung zu bringen, ist eine der wichtigsten Kompetenzen eines Penetrationstesters. Wie verhält sich das Ziel? Wie reagiert es auf bestimmte Vorkommnisse? Und nicht zuletzt: Wo ist es angreifbar? Die hier gewonnenen Informationen liefern bereits wertvolle Erkenntnisse über die vorhandenen Sicherheitsmaßnahmen. Im Rahmen der Informationsbeschaffung versuchen Sie herauszufinden, welche Schutzmechanismen eingerichtet sind, indem Sie allmählich mit der Erkundung der Systeme beginnen. Beispielsweise gestatten viele Unternehmen Datenverkehr auf extern zugänglichen Geräten nur auf einigen wenigen Ports. Wenn Sie einen Port anfragen, der nicht auf der Positivliste steht, werden Sie abgeblockt. Es ist überhaupt eine gute Idee, das genaue Verhalten zunächst von einer entbehrlichen IP-Adresse aus zu überprüfen, deren Blockierung oder Entdeckung tragbar ist. Gleiches gilt für das Testen von Webapplikationen, deren Firewalls Sie nach dem Überschreiten eines Schwellwerts für weitere Abfragen sperren. Um bei dieser Art von Test unentdeckt zu bleiben, sollten Sie die anfänglichen Scans von einem IP-Adressbereich aus durchführen, den man nicht mit Ihnen oder Ihrem Team in Verbindung bringen kann. Unternehmen mit direkter Internetanbindung werden typischerweise täglich angegriffen und so werden Ihre Sondierungen wahrscheinlich zu einem nicht weiter beachteten Teil des Hintergrundrauschens. Hinweis In manchen Fällen kann es sinnvoll sein, sehr auffällige Scans von einem völlig anderen IP-Bereich aus durchzuführen, als demjenigen, den Sie für den eigentlichen Angriff benutzen wollen. Das kann Ihnen auch dabei helfen, zu beurteilen, wie das Unternehmen auf die bereits verwendeten Programme reagiert Threat Modeling Das Threat Modeling (»Bedrohungs-Modellierung«) verwendet die während der Informationsbeschaffungsphase erarbeiteten Daten, um alle vorhandenen Schwachstellen eines Zielsystems aufzudecken. Hierbei wird festgelegt, welche die wirksamste Angriffsmethode ist, welche Art von Informationen gesucht wird und auf welche Weise das Unternehmen angegriffen werden könnte. Threat Modeling bedeutet auch, das Unternehmen als einen Gegenspieler wahrzunehmen und zu versuchen, Schwächen auszunutzen ebenso, wie es ein echter Angreifer täte. 28

4 1.1 Die PTES-Phasen Schwachstellenanalyse Nach Bestimmung der aussichtsreichsten Angriffsmethode müssen Sie erwägen, wie Sie auf das Angriffsziel zugreifen. Bei der Schwachstellenanalyse werden Informationen der vorhergehenden Phasen kombiniert, um zu entscheiden, welche Art von Angriff praktikabel sein könnte. Dabei werden unter anderem Port- und Schwachstellenscans, beim Banner Grabbing (dem Zusammentragen von Informationen aus Status-, Fehler- und Systemmeldungen verschiedener Dienste) erhaltene Daten sowie Resultate der Informationsbeschaffung berücksichtigt Rechnerübernahme Die Übernahme eines Systems (engl. Exploitation) ist vermutlich einer der glanzvollsten Aspekte eines Penetrationstests, obwohl sie oft mittels roher Gewalt statt durch Präzision erreicht wird. Ein Exploit sollte nur dann ausgeführt werden, wenn Sie auch nicht den Hauch eines Zweifels daran haben, dass diese spezielle Übernahme erfolgreich sein wird. Es ist natürlich immer möglich, dass auf dem Angriffsziel unvorhergesehene Schutzmaßnahmen getroffen wurden, die das Funktionieren eines bestimmten Exploits verhindern aber bevor Sie auf eine bestimmte Schwachstelle abzielen, sollten Sie auch wirklich wissen, dass das System dafür anfällig ist. Blindlings einen Massenansturm von Exploits abzufeuern und flehentlich auf eine Shell zu hoffen, ist kontraproduktiv: Es ist auffällig und bringt Ihnen als Penetrationstester und Ihrem Klienten wenig oder gar keinen Nutzen. Machen Sie zunächst Ihre Hausaufgaben und starten Sie danach wohldurchdachte Exploits, die aller Voraussicht nach auch Aussicht auf Erfolg haben Nach der Übernahme Diese Phase beginnt, nachdem Sie eines oder mehrere der angegriffenen Systeme kompromittiert haben Sie sind aber noch weit davon entfernt, fertig zu sein. Das Stadium nach der Übernahme ist wesentlicher Bestandteil eines Penetrationstests. Hier unterscheiden Sie sich vom durchschnittlichen Feld-Wald-und-Wiesen- Hacker und liefern durch Ihren Penetrationstest sogar wertvolle Informationen und Erkenntnisse. In dieser Stufe werden einzelne Systeme gezielt ins Visier genommen, kritische Infrastrukturen ausfindig gemacht und Informationen und Daten ins Auge gefasst, die das Unternehmen besonders wertschätzt und die es zu schützen versucht hat. Erschließen Sie sich nun ein System nach dem anderen und versuchen Sie, Angriffe aufzuzeigen, die den größten Einfluss auf den Geschäftsbetrieb hätten. Wenn Sie Systeme nach der Übernahme angreifen, sollten Sie sich die Zeit nehmen, um herauszufinden, was genau die verschiedenen Systeme leisten und was deren Benutzerrollen sind. Nehmen wir beispielsweise an, Sie kompromittieren 29

5 Kapitel 1 Grundlagen des Penetrationstests ein System der Domäneninfrastruktur und erlangen die Rechte eines Domänenadministrators. Sie mögen nun zwar Herrscher über die Domäne sein, aber was ist mit den Systemen, die sich mit Active Directory in Verbindung setzen? Was ist mit der Hauptfinanzanwendung, die für die Bezahlung der Mitarbeiter eingesetzt wird? Könnten Sie das System kompromittieren und beim nächsten Lohnbuchungsdurchlauf das ganze Geld des Unternehmens auf ein ausländisches Konto transferieren? Wie steht es um das geistige Eigentum von auf dem Angriffsziel befindlichen Inhalten? Angenommen, Ihr Klient ist ein großer Betrieb, der Software entwickelt und seinen Mandanten kundenspezifische Applikationen liefert, die in Produktionsumgebungen eingesetzt werden. Wäre es möglich, durch das Hintertürchen an den Quellcode zu gelangen und im Grunde alle Kunden des Klienten zu kompromittieren? Welchen Schaden würde das in Bezug auf die Vertrauenswürdigkeit des Produkts anrichten? Es handelt sich hierbei um eines dieser komplizierten Szenarien, für die Sie sich Zeit nehmen müssen, um in Erfahrung zu bringen, welche Informationen verfügbar sind und wie Sie diese Informationen dann zu Ihrem Vorteil einsetzen können. Um genau das zu tun, wird sich ein Angreifer gewöhnlich für eine geraume Zeit mit einem kompromittierten System beschäftigen. Denken Sie wie ein bösartiger Angreifer, seien Sie wandlungsfähig und vertrauen Sie auf Ihren Verstand, nicht auf automatisierte Instrumente Berichterstattung Die Berichterstattung ist mit Abstand der wichtigste Bestandteil eines Penetrationstests. Sie werden in Ihren Berichten darlegen, was Sie getan haben, wie Sie es getan haben und, was am wichtigsten ist, wie das Unternehmen die während des Penetrationstests aufgedeckten Schwachstellen beheben sollte. Dass Sie bei einem Penetrationstest den Standpunkt eines Angreifers vertreten, nimmt kaum ein Unternehmen richtig wahr. Die Informationen, die Sie während eines Tests gewinnen, sind unverzichtbar für den Erfolg des Sicherheitsprogramms und die Abwehr künftiger Angriffe. Überlegen Sie beim Zusammenstellen Ihres Untersuchungsergebnisses, wie das Unternehmen Ihre Resultate dazu nutzen kann, ein höheres Problembewusstsein zu schaffen, aufgedeckte Schwierigkeiten zu beseitigen und die Sicherheit insgesamt zu erhöhen, anstatt nur die technischen Schwachstellen auszubessern. Sie sollten Ihren Bericht zumindest in einer Kurzfassung, einer Version für die Führungsebene und als technischen Befund formulieren. Der technische Befund dient dem Klienten in erster Linie zur Beseitigung der Sicherheitslücken, darüber hinaus finden sich darin jedoch noch weitere Nutzeffekte eines Penetrationstests. Falls Sie beispielsweise in einer Webanwendung des Klienten eine Anfälligkeit für 30

6 1.2 Arten des Penetrationstests SQL-Injektionen entdecken, könnten Sie empfehlen, sämtliche Benutzereingaben zu bereinigen, parametrisierte SQL-Abfragen (die SQL-Injektionen verhindern) durchzusetzen, die SQL-Datenbank mit eingeschränkten Rechten laufen zu lassen und maßgefertigte Fehlermeldungen zu erlauben. Anschließend werden Ihre Empfehlungen implementiert und das benannte Problem mit der SQL-Injektion wird ebenfalls behoben. Aber ist der Klient nun vor SQL-Injektionen geschützt? Natürlich nicht. Möglicherweise hat ursprünglich ein tiefer liegendes Problem die SQL-Injektions-Schwachstelle verursacht, etwa, dass nicht geprüft wurde, ob Anwendungen von Drittherstellern sicher sind. Diese müssen ggf. auch korrigiert werden. Hinweis Anm. d. Ü.: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hier einen sehr ähnlichen, fünfstufigen Prozess. Der Unterschied besteht im Wesentlichen darin, dass Schwachstellenanalyse, Übernahme und die Phase nach der Übernahme als eine einzige Stufe zusammengefasst werden. 1.2 Arten des Penetrationstests Sie haben nun ein grundlegendes Verständnis der sieben PTES-Kategorien erlangt, daher wollen wir im Folgenden die zwei wichtigsten Arten des Penetrationstests betrachten: offen und verdeckt. Ein offener Pentest, auch als»white- Box«-Test bezeichnet, geschieht mit vollem Wissen und Einverständnis der Organisation. Verdeckte Tests (»Black-Box«-Test) sind hingegen darauf ausgelegt, die Handlungen eines unbekannten und unangekündigten Angreifers zu simulieren. Jede dieser Testmethoden bietet Vor- und Nachteile Offene Penetrationstests Im Falle eines offenen Penetrationstests arbeiten Sie mit dem Unternehmen zusammen, um potenzielle Sicherheitsbedrohungen aufzuspüren. Die IT des Unternehmens oder die Arbeitsgruppe für Sicherheit zeigt Ihnen die vorhandenen Systeme. Der wesentliche Vorteil eines offenen Tests besteht darin, dass Sie Zugang zu Insiderwissen erhalten und Angriffe starten können, ohne dabei befürchten zu müssen, blockiert zu werden. Eine potenzielle Kehrseite offener Tests ist, dass diese die Vorfallsbehandlung des Klienten möglicherweise nicht sonderlich effektiv prüfen bzw. nur bedingt aufzeigen, wie erfolgreich das Sicherheitskonzept bestimmte Angriffe erkennt. Falls nur ein begrenzter Zeitrahmen zur Verfügung steht und einige PTES-Phasen wie die Informationsbeschaffung undurchführbar sind, kann ein offener Test sehr wohl die erste Wahl sein. 31

7 Kapitel 1 Grundlagen des Penetrationstests Verdeckte Penetrationstests Im Gegensatz zu offenen Tests sind genehmigte verdeckte Penetrationstests dazu gedacht, die Handlungen eines Angreifers zu simulieren und werden ohne Wissen weiter Teile des Unternehmens durchgeführt. Verdeckte Tests werden ausgeführt, um die Fähigkeit der internen Arbeitsgruppe für Sicherheit zu überprüfen, einen Angriff zu erkennen und auf diesen zu reagieren. Derartige Tests können aufwendig und zeitraubend sein und erfordern eingehendere Fachkenntnisse als offene Tests. Aus der Sicht eines Penetrationstesters in der Sicherheitsbranche ist das verdeckte Szenario oftmals vorzuziehen, weil hier ein echter Angriff am genauesten vorgetäuscht wird. Bei verdeckten Angriffen kommt Ihre Fähigkeit zum Tragen, durch Auskundschaften an Informationen zu gelangen. Aus diesem Grund werden Sie als verdeckter Tester typischerweise nicht versuchen, möglichst viele Schwachstellen eines Angriffsziels aufzuspüren, sondern sich lediglich darum bemühen, den einfachsten Weg zu finden, um Zugriff auf das System zu erhalten und zwar unbemerkt. 1.3 Schwachstellenscanner Schwachstellenscanner sind automatisierte Werkzeuge, die es ermöglichen, Sicherheitslücken ausfindig zu machen, von denen ein gegebenes System bzw. Programm betroffen ist. Typischerweise verwenden Schwachstellenscanner ein»fingerprinting«vom Betriebssystem des Angriffsziels (d.h. die Bestimmung von Version und Typ) sowie zur Erkennung sämtlicher aktiver Dienste. Sobald das Betriebssystem des Angriffsziels erkannt ist, bedienen Sie sich des Schwachstellenscanners, um einzelne Tests durchzuführen und festzustellen, ob Schwachstellen existieren. Diese Tests sind natürlich nur so gut wie ihre Programmierer und können wie jede automatisierte Lösung manchmal Schwachstellen eines Systems übersehen oder diese fehlerhaft darstellen. Die meisten modernen Schwachstellenscanner leisten bei der Minimierung falsch positiver Erkennungen erstaunlich gute Arbeit. Viele Organisationen nutzen Schwachstellenscanner zum Aufspüren veralteter Systeme oder potenzieller neuer Sicherheitslücken, die von Angreifern ausgenutzt werden könnten. Schwachstellenscanner spielen beim Penetrationstest eine sehr wichtige Rolle, insbesondere im Falle offener Tests, die vielerlei Angriffe erlauben, ohne dass man sich Gedanken darüber machen müsste, wie man einer Entdeckung entgehen kann. Die mithilfe des Schwachstellenscanners zusammengetragene Wissensfülle kann von unschätzbarem Wert sein, aber hüten Sie sich davor, sich zu sehr darauf zu verlassen. Das Schöne an Penetrationstests ist, dass sie sich nicht automatisieren lassen und ein erfolgreicher Angriff auf ein System Ihr Expertenwissen und Ihre Fachkenntnisse verlangt. Wenn Sie zu einem erfahrenen Penetrationstester 32

8 1.4 Auf den Punkt gebracht geworden sind, werden Sie einen Schwachstellenscanner nur in den seltensten Fällen einsetzen und stattdessen auf Ihre Expertise und Ihr Fachwissen vertrauen, um ein System zu kompromittieren. 1.4 Auf den Punkt gebracht Falls Penetrationstests für Sie Neuland sind oder Sie noch keine formale Methode übernommen haben, beschäftigen Sie sich mit dem PTES. Bei der Durchführung eines Penetrationstests müssen Sie wie bei jedem Experiment sicherstellen, dass dieser Prozess präzise und anpassungsfähig ist, aber auch wiederholbar. Als Penetrationstester müssen Sie gewährleisten, dass sowohl die Informationsbeschaffung als auch die Schwachstellenanalyse so fachmännisch wie möglich erfolgen, damit Sie über einen Vorsprung verfügen, wenn Sie sich in einen neu zutage getretenen Anwendungsfall einarbeiten. 33