1.1 Notwendigkeit von Penetrationstests

Transkript

1 IT-Sicherheit ist ein Thema, das im betrieblichen Alltag eine große Rolle spielt. Spätestens seit der Einführung von gesetzlichen Regelungen, die das Management bei Nachlässigkeiten in diesem Bereich zur Verantwortung ziehen, wird die Bedeutung von Sicherheitskonzepten, deren sorgfältigen Umsetzung und einer regelmäßigen Kontrolle nicht in Frage gestellt. Bei der Kontrolle der Sicherheit durch regelmäßige Security-Audits hat sich eine Vorgehensweise in Anlehnung an etablierte Standards als nützlich erwiesen. Beispiele hierfür sind das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik oder die ISO-Norm Innerhalb eines Security- Audits können viele Fragestellungen durch Interviews, Begehungen oder technische Tools wie Security-Scanner abgedeckt werden. Für spezielle Untersuchungen dagegen ist der Penetrationstest ein Werkzeug, das Schwachstellen aufdeckt, die mit anderen Methoden nicht gefunden werden. 1.1 Notwendigkeit von Penetrationstests Seit der Ablösung von homogenen Großrechnerstrukturen durch dezentrale Systeme ist die IT-Struktur von Unternehmen und Behörden komplizierter geworden. Heterogene Umgebungen, verteilte Anwendungen und vor allem die direkte Anbindung von Partnern und Kunden über das Internet schaffen Strukturen und Prozesse, die in ihren Abläufen komplex sind. Die Wahrscheinlichkeit einer Sicherheitslücke oder einer Fehlfunktion steigt mit der Größe und Komplexität eines Systems. Deshalb ist es kein Wunder, dass fast täglich neue Sicherheitslücken bei Betriebssystemen und Anwendungen gemeldet werden. In vielen Fällen werden die zur Nachbesserung benötigten Updates vom Hersteller schnell geliefert, doch da diese erst getestet werden müssen, bleiben die Lücken noch eine mehr oder minder lange Zeit offen. Für andere Systeme gibt es keine Nachbesserung mehr, sei es, weil es sich um eine vom Hersteller nicht mehr unterstützte Software handelt, sei es, weil es sich um eine Open-Source-Software handelt, für die Updates nur schleppend herausgebracht werden. Aus diesem Versatz zwischen Auftreten und Schließen von Sicherheitslücken und der Erkenntnis, dass in einem größeren Software-Paket immer wieder neue Bugs gefunden werden, lässt sich schließen, dass es unter dem Aspekt der IT-Sicherheit keine perfekten Systeme geben kann.

2 Eine Sicherheitslücke ist nicht gleichbedeutend mit der Möglichkeit eines Angriffs. Durch viele Standardverfahren, wie etwa den Einsatz von Firewalls oder Virenscannern, kann eine IT-Struktur auch bei bestehenden Sicherheitslücken vor Angriffen geschützt werden. Allerdings besteht die Gefahr, dass über eine neu entdeckte Fehlfunktion in einem System andere Sicherheitslücken, die bisher nicht zu einem Angriff genutzt werden konnten, nun offen zugänglich sind. Solche indirekten Angriffsmöglichkeiten können innerhalb eines Security-Audits mit Interviews, Begehungen und einem Security-Scan nicht zuverlässig gefunden werden. Die von ihrem Ansatz her noch am besten geeigneten Security-Scanner suchen automatisch nach Sicherheitslücken, die sie in ihrer Datenbank haben. Dabei schließen sie von bestimmten Symptomen wie etwa älteren Programmversionen oder nicht installierten Patches auf eine Angriffsmöglichkeit. Fehler, die nicht in ihrer Datenbank hinterlegt sind oder die sich aus dem Zusammenspiel mehrerer Komponenten ergeben, werden nicht entdeckt. Hier setzt der Penetrationstest als ergänzende Maßnahme an. Mit ihm werden spezielle Fragestellungen untersucht, die meist bei Zugängen zu IT-Systemen mit besonderem Sicherheitsbedarf oder aber im komplexen Zusammenspiel mehrerer Systeme liegen. Bei Systemen mit besonderem Sicherheitsbedarf stellt der Penetrationstest sicher, dass bei den zuvor durchgeführten anderen Prüfungen in Form von Interviews, Begehungen und Security-Scans keine Nachlässigkeiten passiert sind. Beim Zusammenspiel mehrerer Systeme ist der Penetrationstest die einzige zuverlässige Untersuchung. 1.2 Organisatorische Einbettung Der größte Unterschied zwischen einem»gewöhnlichen«hacker und einem Penetrationstester ist die organisatorische Einbettung des Penetrationstests. Während bei einem Hacker der erfolgreiche Einbruch in eine IT-Infrastruktur das Kriterium für den Erfolg ist, kommt es beim Penetrationstest vor allem auf eine saubere, nachvollziehbare Dokumentation der gefundenen Sicherheitslücken und die Vorschläge zu deren Beseitigung an. Daraus ergeben sich Differenzen zwischen der Vorgehensweise eines Hackers und der eines Penetrationstesters: Während bei einem Hacker die»kollateralschäden«, also die während des Angriffs zu Schaden gekommenen IT-Systeme, keine Rolle spielen, sind solche Schäden bei einem Penetrationstest möglichst klein zu halten. Für einen Hacker ist die Dokumentation eines Angriffs nur insofern von Bedeutung, als dass er einen ähnlichen Erfolg auch bei anderen Systemen erzielen möchte. Bei einem Penetrationstest ist die Dokumentation ein wesentlicher Bestandteil des Arbeitsauftrags. 12

3 Prinzipielle Vorgehensweise Ein Hackerangriff kann zu jeder Tages- und Nachtzeit erfolgen, so wie es den Wünschen des Angreifers entspricht. Die Zeiten für einen Penetrationstest müssen sorgfältig geplant werden, um die betrieblichen Auswirkungen in kalkulierbaren Grenzen zu halten. Ein Hacker setzt bei seinen Angriffen alle ihm verfügbaren Mittel ein. Das gilt für einen Penetrationstester prinzipiell auch, doch kann es hier Grenzen geben, die durch den zuvor festgelegten Umfang der Arbeiten bestimmt werden. Bei einem Penetrationstest besteht zwischen dem Tester und der zu testenden Institution eine vertragliche Vereinbarung, sei es durch einen Werkvertrag oder bei internen Tests durch den Arbeitsvertrag. Ebenfalls vertraglich geregelt ist bei einem Penetrationstest die Verpflichtung des Testers zur Verschwiegenheit bzw. die Erlaubnis, im Rahmen der Arbeiten auf geschützte Daten zugreifen zu dürfen. Solche Pflichten und Rechte hat ein Hacker nicht. Für die so genannten Birthday-Attacken, bei denen zu einer gegebenen Sicherheitslücke bzw. zu einem existierenden Angriffsprogramm die passenden Rechner oder Netzwerke gesucht werden, gibt es beim Penetrationstest keine Entsprechung. Hier geht es um ein konkretes Ziel in einem vorgegebenen Netzwerk. Aus diesen Überlegungen ergibt sich die Notwendigkeit einer engen Einbindung der durchzuführenden Arbeiten in die eigene Organisation. Penetrationstests nach dem Motto»Macht mal und seht, was ihr herausbekommt«sind möglich, aber in der Praxis eher selten. 1.3 Prinzipielle Vorgehensweise Neben den oben skizzierten Unterschieden gibt es viele Gemeinsamkeiten zwischen Hackern und Penetrationstestern, vor allem bei den technischen Untersuchungen. Sind die vertraglichen und organisatorischen Bedingungen festgelegt, läuft ein Penetrationstest in den meisten Fällen nach folgendem Muster ab: Je nach Umfang des Vorwissens des Testers bzw. den ihm vorab übergebenen Informationen werden öffentliche Quellen angezapft, um genügend Datenmaterial zur Durchführung der Tests zu erhalten. Dieser Vorgang wird als Footprinting bezeichnet, da er die»fußstapfen im Schnee«, die jede Organisation im Internet hinterlässt, verfolgt und auswertet. Die für den Penetrationstest ausgewählten Systeme werden einer gründlichen Analyse unterzogen, um möglichst detaillierte Informationen über das installierte Betriebssystem sowie Typ und Version der zusätzlich installierten Anwendungen zu erhalten. Bei Systemen, die über das Netzwerk erreichbar sind, werden solche Untersuchungen mittels so genannter Portscanner durchgeführt. Diese Tools versuchen, sich mit Netzwerk-Applikationen zu verbinden und stel- 13

4 len so deren Existenz fest. Außerdem kann so auch das Betriebssystem identifiziert werden. Weitere Tests ziehen aus Feinheiten in der Reaktion auf bestimmte Netzwerkpakete Rückschlüsse auf die Versionen der eingesetzten Betriebssysteme und Anwendungen. Diese Untersuchung weist Analogien zur polizeilichen Ermittlungsarbeit mit Fingerabdruck-Karteien auf und wird deshalb auch als Fingerprinting bezeichnet. Aufgrund der vorliegenden Informationen wird nun eine Recherche nach potenziellen Sicherheitslücken vorgenommen. Zu jeder dieser Schwachstellen werden Tools zur weiteren Analyse oder direkt Angriffs-Tools (Exploits) beschafft, die unter Ausnutzung der jeweiligen Sicherheitslücke einen Zugriff auf die Systeme zulassen. Wegen der Vielzahl der unterschiedlichen IT-Systeme müssen diese Tools meist an die zu prüfende Infrastruktur angepasst werden. Diese Arbeit ist der schwierigste Teil eines Penetrationstests. Die Angriffsprogramme werden gezielt eingesetzt, um die Existenz der Sicherheitslücke nachzuweisen. Der Erfolg der einzelnen Schritte des Penetrationstests wird sorgfältig dokumentiert, damit alle offenen Sicherheitslücken später geschlossen werden können. Dabei ist die hier geschilderte Vorgehensweise nur ein grober Anhaltspunkt, der genaue Ablauf jedes Tests ergibt sich aus den nach und nach gefundenen Informationen und der Beschaffungsmöglichkeit bzw. Notwendigkeit der Erstellung von Angriffsprogrammen. Deshalb ist kein Penetrationstest wie der andere. Das ist der wesentliche Grund für die Erkenntnis, dass Penetrationstests von erfahrenen Testern manuell ausgeführt werden müssen. In Einzelfällen sind Sammlungen von Penetrationstest-Tools verfügbar, aber auf den vollautomatischen Penetrationstest werden wir nach dem heutigen Stand der Technik noch warten müssen. 1.4 Grenzen von Penetrationstests Die Flexibilität, mit der ein Penetrationstest eine Infrastruktur auf Sicherheitslücken abklopfen kann, hat auch ihren Preis. Die Qualität einer solchen Untersuchung hängt ganz wesentlich von den beteiligten Personen ab. Dabei muss ein guter Tester Anforderungen erfüllen, die schon fast als Widersprüche gelten können: Er muss die Kreativität und den Jagdinstinkt eines Hackers haben. Er muss im Umgang mit den Kunden die Gepflogenheiten von IT-Beratern beherrschen. 14

5 Klassifizierung von Penetrationstests Er muss umfangreiche Kenntnisse über Betriebssysteme, Anwendungen und die darin verborgenen Sicherheitslücken besitzen. Er muss die zur Erstellung oder Modifikation von Angriffsprogrammen nötigen Programmierkenntnisse haben. Er muss in der Abwicklung der Tests sehr systematisch vorgehen. Er muss in der Lage sein, seinen Ergebnisbericht so zu schreiben, dass dieser vom Management und von Technikern verstanden werden kann. Da es nicht viele Personen gibt, die alle diese Fähigkeiten vereinen, sind gute Penetrationstester selten. Damit wird eine der Grenzen von Penetrationstests aufgezeigt. Wenn der Tester nicht über ausreichende Fähigkeiten verfügt, bleibt der Test unvollständig. Dann besteht das Risiko, dass bestehende Sicherheitslücken nicht gefunden oder gefundene Sicherheitslücken in ihrer Bedeutung falsch eingeschätzt werden. Eine andere Grenze wird durch die sich fast täglich ändernde Welt innerhalb der IT vorgegeben. Ein Penetrationstest beschäftigt sich nur mit dem aktuellen Zustand der Infrastruktur, wie sie am Tag der Arbeiten vorgefunden wurde. Der Ergebnisbericht ist also auch nur für diesen Zeitpunkt gültig. Schon am nächsten Tag können neue Angriffsmethoden publiziert werden, von denen der Penetrationstester bisher noch nichts wusste. Oder es werden Software-Updates, ganz neue Anwendungen oder andere Systeme in Betrieb genommen, die alle potenziell Sicherheitslücken haben können. Eine Lösung dieser Problematik gibt es nicht. In der Praxis wird der Penetrationstest in regelmäßigen Abständen wiederholt. In der Zwischenzeit versucht man, durch Auswertung von Log-Dateien oder Systeme zur Intrusion-Detection das Risiko zu minimieren. Einen hundertprozentigen Schutz kann es aber niemals geben. Auf der anderen Seite kann ein professionell durchgeführter Penetrationstest, auch wenn er nur eine Momentaufnahme bietet, so viele Informationen und Verbesserungsvorschläge liefern, dass auch beim Auftreten von neuen Sicherheitslücken die Möglichkeiten für erfolgreiche Angriffe begrenzt sind. Darin liegt eine große Chance, die über die konkrete Suche nach Schwachstellen weit hinausgeht. 1.5 Klassifizierung von Penetrationstests Genauso wenig, wie es eine festgelegte Vorgehensweise beim Penetrationstest gibt, existieren Standards für Umfang und Intensität der einzelnen Prüfungen. Diese Vorgaben werden bei der Vorbereitung festgelegt, wobei ein sehr großer Spielraum denkbar ist. 15

6 Das BSI hat in seiner Studie»Durchführungskonzept für Penetrationstests«eine praktikable Klassifizierung erarbeitet. Sie soll auch in diesem Werk verwendet werden. Die Studie unterteilt Penetrationstests und die dabei anfallenden Aufgaben nach dem Vorwissen über die zu prüfende Infrastruktur, der Aggressivität von Testmaßnahmen, dem Umfang der durchgeführten Arbeiten, der Auffälligkeit der Tests für Unbeteiligte, dem Zugang zu der zu prüfenden Infrastruktur sowie dem Ausgangspunkt der Untersuchungen. Da diese Klassifizierung bei den vorbereitenden Besprechungen und vertraglichen Regelungen eine große Rolle spielt, soll sie genauer betrachtet werden Black-Box und White-Box Eine typische Fragestellung bei einem Penetrationstest lautet:»was kann ein Hacker erreichen, der sich einem Netzwerk über das Internet nähert?«um ein solches Szenario realistisch abzubilden, sollte der Tester sich in derselben Position wie ein Hacker befinden. Dieser hat außer dem Namen der Internet-Domäne der anzugreifenden Firma oder Behörde zunächst keine weiteren Informationen. Er muss die der Domäne zugeordneten IP-Adressen, Rechner und Dienste erst ermitteln, bevor er mit der Ausarbeitung von Angriffsstrategien beginnt. Eine solche Testumgebung, bei der im Vorfeld keine oder nur ganz wenige Informationen über die zu prüfende Infrastruktur bekannt sind, wird Black-Box-Test genannt. Im Gegensatz dazu gibt es die White-Box-Tests, bei denen einige für den Test relevante Informationen schon vor Beginn der Arbeiten vorliegen. Die Fragestellung für eine solche Prüfung könnte etwa lauten:»welche Möglichkeiten bestehen, über den E-Commerce-Server x auf die dahinter liegende Datenbank y zuzugreifen und diese zu manipulieren?«bei einer solchen Untersuchung wäre ein Black-Box-Test eine Zeitverschwendung. Je genauer die dem Prüfer vorliegenden Informationen sind, desto wirkungsvoller können seine Untersuchungen zur Aufdeckung von Sicherheitslücken sein Aggressivität von Testmaßnahmen Bei einem Penetrationstest muss der Spagat zwischen zwei gegensätzlichen Anforderungen unternommen werden. Zum einen sollen die Tests alle Sicherheitslücken schonungslos aufdecken, was das Risiko eines Systemabsturzes oder einer Datenveränderung mit sich bringt. Andererseits verlangt der Auftraggeber zu 16

7 Klassifizierung von Penetrationstests Recht, dass mit seinen Systemen so schonend wie möglich umgegangen wird und Störungen nach Möglichkeit vermieden werden. Deshalb wird vor Beginn der Untersuchung einvernehmlich festgelegt, wie weit der Tester gehen darf. Das BSI unterscheidet vier Abstufungen: Bei einem passiven Test werden die Systeme nur mittels Portscan und Fingerprinting untersucht. Aus den Ergebnissen dieser Messungen wird dann auf eventuelle Sicherheitslücken geschlossen, diese werden aber nicht durch weitergehende Versuche verifiziert. Bei einem vorsichtigen Test werden nur Versuche durchgeführt, die nach bestem Wissen und Gewissen des Prüfers keine Beeinträchtigungen an den Systemen auslösen können. Bei einem abwägenden Test werden nur Versuche durchgeführt, bei denen keine schwerwiegenden Beeinträchtigungen zu erwarten sind. Angriffs-Tools werden nur dann eingesetzt, wenn deren Auswirkungen kalkulierbar sind. Bei einem aggressiven Test werden alle zur Bestimmung der Sicherheitslücken notwendigen Untersuchungen durchgeführt, auch wenn die Systeme abstürzen oder andere Schäden (wie etwa Datenverlust) auftreten können Umfang der Arbeiten Je gründlicher ein Test durchgeführt werden soll, desto weniger Systeme können in einer vorgegebenen Zeit und zu einem vorgegebenen Preis untersucht werden. Ein wichtiger, im Vorfeld abzuklärender Punkt ist deshalb die Festlegung des Umfangs der Arbeiten. Das BSI unterscheidet hier zwischen drei Möglichkeiten: Bei einem fokussierten Test werden nur ganze bestimmte Bestandteile der IT- Infrastruktur geprüft, wie etwa einzelne Dienste, Systeme oder Teilnetze. Bei einem begrenzten Test wird eine Auswahl getroffen, welche Systeme Bestandteil der Untersuchung sein sollen. Bei einem vollständigen Test werden alle erreichbaren Systeme geprüft, wobei es hier Einschränkungen geben kann, etwa wenn erreichbare Systeme nicht der administrativen Gewalt der geprüften Firma oder Behörde unterstehen Auffälligkeit der Tests Bei manchen Penetrationstests kommt es beim Aufdecken von Sicherheitslücken darauf an, dass die im untersuchten Bereich arbeitenden Personen nichts von den Untersuchungen wissen. Soll etwa die Qualität des Pförtnerdienstes durch Personen geprüft werden, die eine zu hohe Zutrittsberechtigung verlangen, darf der diensthabende Pförtner nichts vom Test ahnen. 17

8 Auf der anderen Seite gibt es Tests, bei denen das Personal über die Vorgänge Bescheid wissen muss. Ein Beispiel sind aggressive Tests, bei denen ein Teil der Infrastruktur abstürzen kann und vom Administrator ohne größeren Produktivitätsverlust neu gestartet werden muss Zugang zur Infrastruktur Die meisten Penetrationstest werden über das TCP/IP-Netzwerk durchgeführt. Doch müssen sich die Untersuchungen nicht auf diesen Bereich beschränken. Andere Zugänge können sein: analoge oder digitale Telefonzugänge, um Systeme zum remoten Zugang (RAS), Telefonanlagen oder Faxserver zu prüfen, Netze mit Zugang über GSM-Mobiltelefone (z.b. BlackBerry), Tests mit physischem Zugang zu den zu prüfenden Systemen (z.b. Zutritt zu Server-Räumen), Tests mittels Social Engineering wie beim Beispiel mit dem Pförtner Ausgangspunkt der Untersuchungen Auch hier gibt es je nach Fragestellung mehrere Optionen. Ein gern angewandtes Test-Szenario bei Banken ist ein erster Black-Box-Test über das Internet und ein anschließender zweiter White-Box-Test hinter der ersten Firewall. Die Fragestellung beim zweiten Test lautet dann:»was kann ein Hacker ausrichten, wenn durch eine wie auch immer geartete Schwachstelle in der ersten Firewall diese überbrückt werden kann?«1.5.7 Externe und interne Tests Eine weitere Klassifizierung, die in der BSI-Studie nicht explizit als Unterscheidungsmerkmal aufgenommen wurde, ist die Grundsatzentscheidung, ob die Prüfung von internen oder externen Personen wahrgenommen wird. Für die meisten Firmen und Behörden lohnt es sich nicht, eine eigene Infrastruktur für die Durchführung von Penetrationstests aufzubauen. Es ist kostengünstiger und effektiver, eine externe Firma mit den Arbeiten zu betrauen. Bei größeren Organisationen kann es sinnvoll sein, mit eigenen Testern zu arbeiten. Beide Methoden haben ihre Vor- und Nachteile. Externe Tests erfordern ein großes Vertrauen in Fähigkeiten und Loyalität des Partners. Denn dieser gewinnt vor allen internen Stellen neue Erkenntnisse über Sicherheitslücken und deren mögliche Ausnutzung. In einem gewissen Rahmen kann durch vertragliche Regelungen wie die Pflicht zur Verschwiegenheit oder die genaue Eingrenzung der Aufgabe das Risiko verkleinert werden, ganz auf Null lässt es sich nicht drücken. Auf der anderen Seiten haben externe Prüfer den Vorteil, dass sie völlig unbelastet durch internes Vorwissen oder Kompetenzstreitigkeiten an die Arbeit gehen können. 18

9 Klassifizierung von Penetrationstests Interne Prüfer haben den Vorteil, dass sie ein umfangreiches Wissen über die interne Infrastruktur besitzen. Für einen Black-Box-Test sind sie deshalb weniger gut geeignet. Durch ihre Erfahrung in der Firma oder Behörde können sie jedoch für einen White-Box-Test besser präpariert sein als ein externer Tester. Auch in Situationen, bei denen die Prüfung in erster Linie aus machtpolitischen Gründen initiiert wurde und externe Prüfer im Dschungel der unterschiedlichen Interessen untergehen würden, sind interne Prüfer im Vorteil. 19