Sicherheit in Netzen. Durchführung von Penetrationstest

Transkript

1 Sicherheit in Netzen Durchführung von Penetrationstest Wintersemester 2004/2005 Master of Science in Computer Science Marc Cremer 1 Agenda Einleitung Sicherheitsmaßnahmen und Penetrationstests Einordnung von Penetrationstests Rechtliche Grundlagen Rahmenbedingungen Methodik für die Durchführung von PTs Fazit Marc Cremer 2

2 Einleitung Studie des BSI Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI) Konzept zur Durchführung von Penetrationstests Studie stellt keine Anleitung zum Hacken dar, sondern stellt strukturierte Vorgehensweise für Penetrationstests dar Marc Cremer 3 Einleitung Zielgruppen Studie richtet sich an: Unternehmen die PTs anbieten oder in Zukunft anbieten wollen Manager, die einen PT in Auftrag geben wollen IT-Sicherheitspersonal (z.b. Netzwerkadministratoren) Marc Cremer 4

3 Einleitung Penetrationstest Kontrollierter Versuch (von außen) in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren Einsatz gleicher bzw. ähnlicher Techniken, die auch bei einem realen Angriff verwendet werden Schwachstellen werden identifiziert Maßnahmen zur Verbesserung des Sicherheitsniveau werden anhand der Ergebnisses des PT getroffen Marc Cremer 5 Sicherheitsmaßnahmen und Penetrationstests - Bedrohungen Durchschnittlicher finanzieller Verlust von 4,5 Millionen US-Dollar durch Informationsdiebstahl (Quelle: CSI und FBI) Unterscheidung und Kategorisierung von Tätergruppen und deren Motivation Marc Cremer 6

4 Sicherheitsmaßnahmen und Penetrationstests Täterprofile (I) Hacker: Experimentierfreudiger Programmierer mit Interesse an der Technik Cracker: Kriminelle Person mit Absicht auf rechtswidrige Vorteile oder gesellschaftliche Anerkennung Insider: Cracker mit Detailwissen, oft (ehemalige) frustrierte Mitarbeiter Marc Cremer 7 Sicherheitsmaßnahmen und Penetrationstests Täterprofile (II) Script Kiddies: Neugieriger Nutzer vorgefertigter Angriffstools mit willkürlich gewählten Zielen Neben den beschriebenen Tätergruppen stellt die Wirtschaftsspionage eine weitere Motivation des Informationsdiebstahls dar. Marc Cremer 8

5 Sicherheitsmaßnahmen und Penetrationstests Angriffsmöglichkeiten (I) Angriffe über das Netzwerk: Ausnutzen von Schwachstellen des Betriebsund Anwendungssystems und von Netzwerkprotokollen Social-Engineering: Menschen mit privilegiertem Wissen werden so manipuliert, dass sie dem Angreifer sicherheitsrelevante Daten preisgeben. Marc Cremer 9 Sicherheitsmaßnahmen und Penetrationstests Angriffsmöglichkeiten (II) Umgehung der physische Sicherheit: Grundvoraussetzung zur Gewährleistung der IT-Sicherheit. Erlangt der Angreifer physischen Zugriff auf IT-Systeme, ist der Zugriff auf sensitive Daten nur eine Frage der Zeit. Marc Cremer 10

6 Sicherheitsmaßnahmen und Penetrationstests Maßnahmen zur Steigerung der IT-Sicherheit Kein hundertprozentiger Schutz möglich Organisationsweite IT-Sicherheitskonzepte erhöhen das Sicherheitsniveau eines Unternehmens (z.b. Firewall, Eskalationsvorschriften) Penetrationstest prüft und demonstriert wie ein Sicherheitskonzept arbeitet Marc Cremer 11 Sicherheitsmaßnahmen und Penetrationstests Durchführung eines PTs (I) Der Begriff Penetrationstest wurde 1995 mit der Entwicklung des ersten Schwachstellen- Scanners (SATAN) geprägt. Recherche nach Informationen über das Zielsystem Scan der Zielsysteme auf angebotene Dienste Marc Cremer 12

7 Sicherheitsmaßnahmen und Penetrationstests Durchführung eines PTs (II) System- und Anwendungserkennung Recherche nach Schwachstellen Ausnutzen der Schwachstellen Qualität eines PTs wird im Wesentlichen davon bestimmt, inwieweit der Tester auf die individuelle Situation des Auftraggebers eingeht. Marc Cremer 13 Einordnung von Penetrationstests Angriffspunkte Firewalls Webserver Server, die weitere öffentliche Dienste anbieten (z.b. FTP, ) Funknetzwerke Remote Access Zugänge (z.b. ISDN-Karte) normale Arbeitsplatzrechner Marc Cremer 14

8 Einordnung von Penetrationstests Zielsetzung von Penetrationstests Erhöhung der Sicherheit der technischen Systeme Identifikation von Schwachstellen Bestätigung der IT-Sicherheit durch einen externen Dritten Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur Marc Cremer 15 Einordnung von Penetrationstests Grenzen von Penetrationstests Penetrationstest lässt keine allgemeingültige Aussage über Sicherheitsniveau zu Lediglich eine Momentaufnahme Es kann Angriffsmöglichkeiten geben, die nicht getestet wurden PT kann nicht ein Sicherheitskonzept ersetzen Marc Cremer 16

9 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 17 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 18

10 Einordnung von Penetrationstests Informationsbasis Welchen Wissenstand hat der Angreifer? Black-Box Kein Insiderwissen, realistischer Angriff eines Hackers White-Box Insiderwissen vorhanden, z.b. Angriff durch einen Ex-Mitarabeiter Marc Cremer 19 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 20

11 Einordnung von Penetrationstests Aggressivität Wie aggressiv geht der Tester vor? Passiv scannend: Schwachstellen werden nicht genutzt, nur identifiziert Vorsichtig: Nutzen von Schwachstellen, nur wenn das System nicht beeinträchtigt wird Abwägend: Führt unter Umständen zu Systembeeinträchtigungen Aggressiv: Ausnutzen aller Schwachstellen, Absturz von Systemen wird in Kauf genommen Marc Cremer 21 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 22

12 Einordnung von Penetrationstests Umfang Welche Systeme sollen getestet werden? Fokussiert: Test eines bestimmten Teilnetzes, Systems oder Dienstes Begrenzt: Test von Systemen einer begrenzten Anzahl (z.b. eines funktionalen Verbundes) Vollständig: Test aller erreichbarer Systeme Marc Cremer 23 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 24

13 Einordnung von Penetrationstests Vorgehensweise Wie sichtbar geht das Team beim Testen vor? Verdeckt: Es werden nur solche Methoden eingesetzt, die nicht direkt als Angriffsversuch verstanden werden (Test des Sicherheitskonzeptes) Offensichtlich: Umfangreicher Test unter Umständen mit Personal des Auftraggebers Marc Cremer 25 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 26

14 Einordnung von Penetrationstests Technik Welche Techniken werden beim Testen eingesetzt? Netzwerkzugang: Meist IP-basierter Penetratiostest Weitere Kommunikationsnetze: WLAN, Bluetooth, Telefon- und Faxverbindungen Physischen Zugriff: Überwinden der Zugangskontrollen im Gebäude Social-Engineering: Erlangen von sicherheitsrelevante Daten durch Mitarabeiter Marc Cremer 27 Einordnung von Penetrationstests Klassifikation von Penetrationstests Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 28

15 Einordnung von Penetrationstests Ausgangspunkt Von wo aus wird der Penetrationstest durchgeführt? Von außen: Realistischer Hackerangriff über eine Netzanbindung Von innen: Angriff innerhalb des Netzes des Auftraggebers; meist ist in diesem Fall keine Firewall zu überwinden. Demonstration, was passieren kann, wenn Firewall fehlerhaft ist. Marc Cremer 29 Rechtliche Grundlagen Unterteilung Rechtliche Überlegungen, die ein Unternehmen zur Durchführung eines PTs veranlassen Rechtliche Vorschriften, die der Auftragnehmer während der Durchführung eines PTs beachten sollte Rechtliche Gesichtspunkte der Vertragsgestaltung Marc Cremer 30

16 Rechtliche Grundlagen Gesetzliche Vorschriften als Motivation für Penetrationstests Keine Gesetze, jedoch Vorschriften Sicherheitskonzepte reichen nicht aus, die Prüfung dieser muss auch sichergestellt werden Hier bieten sich Penetrationstest an Marc Cremer 31 Rechtliche Grundlagen Handelsgesetzbuch (HGB) Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...] Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...] Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...] Marc Cremer 32

17 Rechtliche Grundlagen Bundesdatenschutzgesetz (BDSG) Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...] Marc Cremer 33 Rechtliche Grundlagen Staatsvertrag für Mediendienste (MDStV ) 13 Abs. 2 MDStV [Pflichten des Anbieters]: Der Anbieter von Mediendiensten hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] 3. der Nutzer Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann. [...]. 17 MDStV [Datenschutz-Audit]: Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...] Marc Cremer 34

18 Rechtliche Grundlagen Weitere Vorschriften Teledienstegesetz(TDG) Teledienstedatenschutzgesetz (TDDSG) EU-Datenschutzrichtlinie (95/46/EG) Verordnungen und Verlautbarungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) Kreditwesengesetz (KWG) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Strafgesetzbuch (StGB) Marc Cremer 35 Rechtliche Grundlagen Bei der Durchführung von PTs zu beachtende gesetzliche Rahmenbedingungen Im Zuge eines PTs verstößt der Tester gegen geltendes Recht, wenn die Handlungen nicht mit dem Auftraggeber abgesprochen und schriftlich fixiert wurden Wichtig ist daher den konkreten Handlungsrahmen vor Beginn eines PTs abzugrenzen Marc Cremer 36

19 Rechtliche Grundlagen Zugangskontrolldiensteschutzgesetz (ZKDSG) 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten]: Verboten sind 1.) die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 2.) der Besitz, die technische Einrichtung, die Wartung und der Austausch von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 3.) die Absatzförderung von Umgehungseinrichtungen. Marc Cremer 37 Rechtliche Grundlagen Zugangskontrolldiensteschutzgesetz (ZKDSG) 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten]: Verboten sind 1.) die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 2.) der Besitz, die technische Einrichtung, die Wartung und der Austausch von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 3.) die Absatzförderung von Umgehungseinrichtungen. Marc Cremer 38

20 Rechtliche Grundlagen Telekommunikationsgesetz (TKG) 65 TKG Abs. 1 [Missbrauch von Sendeanlagen]: Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören. 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen]: Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...] Marc Cremer 39 Rechtliche Grundlagen Betriebsverfassungsgesetz (BetrVG) 87 Abs. 1 Nr. 6 BetrVG [Mitbestimmungsrechte]: Der Betriebsrat hat [...], in folgenden Angelegenheiten mitzubestimmen: bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Existiert beim Auftraggeber ein Personalrat, so ist dieser stets über den PT zu informieren, vor allem, wenn Social- Engineering-Techniken eingesetzt werden. Marc Cremer 40

21 Rechtliche Grundlagen Rechtliche Gesichtspunkte der Vertragsgestaltung (I) Vertragsgegenstand Zielsetzung des PT Art des PT (nach Klassifikationsmerkmalen) Ausschluss von Angriffstechniken Auftraggeber Bereitstellen von Informationen Informationen möglicher Dritter Schutzmaßnahmen (Backups) Marc Cremer 41 Rechtliche Grundlagen Rechtliche Gesichtspunkte der Vertragsgestaltung (II) Auftragnehmer Verschwiegenheit Einhaltung lizenzrechtlicher Vorschriften Dokumentation der Prüfungshandlungen und der Ergebnisse Allgemeine Sorgfaltspflichten Marc Cremer 42

22 Rechtliche Grundlagen Rechtliche Gesichtspunkte der Vertragsgestaltung (III) Auftragsdurchführung Feste Start- und Enddatum Sonderkündigungsrecht Absturz eines kritischen Systems Haftungsbeschränkung Marc Cremer 43 Rahmenbedingungen Organisatorische Voraussetzungen (I) Wer ist, abgesehen von dem Auftraggeber, direkt oder indirekt von dem Penetrationstest betroffen? Sind haftungsrechtliche Risiken angemessen berücksichtigt? Was ist bezüglich des Durchführungszeitpunktes/- zeitraumes zu beachten? Was ist im Falle eines Systemausfalls oder eines sonstigen Notfalls zu tun? Welche Mitarbeiter des Auftraggebers sind durch den Penetrationstest betroffen? Marc Cremer 44

23 Rahmenbedingungen Organisatorische Voraussetzungen (II) Welcher Aufwand ist für den Auftraggeber mit dem Penetrationstest verbunden? Welcher Aufwand ist für den Tester mit dem Penetrationstest verbunden? Marc Cremer 45 Rahmenbedingungen Personelle Voraussetzungen Anforderungen an Tester Systemadministration / Betriebssyteme TCP/IP und ggf. weiteren Netzwerkprotokollen Programmiersprachen IT-Sicherheitsprodukten Hackertools und Schwachstellen-Scannern Anwendungen bzw. Anwendungssystemen Kreativität Marc Cremer 46

24 Rahmenbedingungen Technische Voraussetzungen Zugang zu öffentlichen Netzen Bandbreitenbedarf ist hoch Verfügbarkeit geeigneter Revisionswerkzeuge Wirkung und Nebenwirkung Lokales Testnetzwerk Marc Cremer 47 Rahmenbedingungen Ethische Überlegungen Social-Engineering-Techniken Verunsicherung der Mitarbeiter Überprüfungscharakter Ausnutzung erkannter Schwachstellen Mögliche Störung der Geschäftsprozesse Imageverlust Marc Cremer 48

25 Methodik für die Durchführung von PTs - Anforderungen Strukturiertes Vorgehen Allgemeingültigkeit Orientierung an den Zielen des Auftraggebers Kosten/Nutzen-Vergleich Begrenzte Durchführungszeit beachten Marc Cremer 49 Methodik für die Durchführung von PTs Phase 1: Vorbereitung Ziele, Erwartungen Gesetzliche Überlegungen Notfallmaßnahmen Testablaufsplan Umfang und Kosten Ausführlicher Vertrag in Schriftform Marc Cremer 50

26 Methodik für die Durchführung von PTs Phase 2: Informationsbeschaffung Passiver Penetrationstest Unternehmensdaten sammeln Übersicht der installierten Systeme Potentielle Sicherheitslücken und Angriffspunkte recherchieren Marc Cremer 51 Methodik für die Durchführung von PTs Phase 3: Bewertung und Risikoanalyse Bewerten der gesammelten Informationen Auswahl der Angriffspunkte (Rechtfertigung der Einschränkungen in Schriftform) Berücksichtigung der Vertragsbedingungen (Umfang, Dauer und Zielsetzung) Marc Cremer 52

27 Methodik für die Durchführung von PTs Phase 4: Aktive Eindringversuche Verifikation der Schwachstellen (Integrität, Verfügbarkeit) Ausfallrisiko der Systeme Bei kritischen Systemen ist gegebenenfalls ein Sicherheitspatch erforderlich Marc Cremer 53 Methodik für die Durchführung von PTs Phase 5: Abschlussanalsye Aufzeichnung der einzelnen Prüfungsschritte Bewertung der Schwachstellen Gruppierung nach Risikostufen (z.b. high, medium, low) Abstraktes Niveau für Management Abschlussgespräch Marc Cremer 54

28 Methodik für die Durchführung von PTs 5 Phasen eines Penetrationstests Marc Cremer 55 Methodik für die Durchführung von PTs Modulbasierter Test Informationsbeschaffung I-Module Eindringversuche E-Module Ausschlussprinzip Klassifizierung nach Themen Marc Cremer 56

29 Methodik für die Durchführung von PTs I-Module Auswertung öffentlich zugänglicher Daten Identifikation von Systemen Offensichtliche Abfragen von Netzwerkbasisinformationen Sammlung von Informationen für persönliches Social-Engineering Identifikation von Zutrittskontrollen Marc Cremer 57 Methodik für die Durchführung von PTs Auswertung öffentlich zugänglicher Daten (I) Erwartete Ergebnisse Profil des Unternehmen Profil der Mitarbeiter Überblick über die von der Organisation eingesetzten Technologien Überblick über Partnerschaften und Strategien der Organisation Marc Cremer 58

30 Methodik für die Durchführung von PTs Auswertung öffentlich zugänglicher Daten (II) Prüfungsschritte Recherche nach Informationen auf der Homepage der Organisation (gering) Recherche in öffentlichen Datenbanken (gering) Recherche in Newsgroups nach relevanten Informationen (mittel) Marc Cremer 59 Methodik für die Durchführung von PTs E-Module Offensichtliche Verifikation tatsächlicher Schwachstellen Abhören von Passwörtern Test von Passwörtern Verdeckter Test der Firewall von außen Test der administrativen Zugänge zur Telefonanlage Marc Cremer 60

31 Methodik für die Durchführung von PTs Offensichtliche Verifikation tatsächlicher Schwachstellen (I) Erwartete Ergebnisse: Ergänzte Liste der Patchlevel von Systemen und Anwendungen Liste der tatsächlichen Schwachstellen Liste der potenziellen Schwachstellen, die nicht verdeckt verifiziert werden können Marc Cremer 61 Methodik für die Durchführung von PTs Offensichtliche Verifikation tatsächlicher Schwachstellen (II) Prüfungsschritte Einsatz von aktuellen Schwachstellenscannern (mittel) Manuelle Verifikation der übrigen Schwachstellen, wie z. B. Tests von Buffer- Overflow Exploits, etc. (hoch/sehr hoch) Marc Cremer 62

32 Einordnung von Penetrationstests Ausschluss durch Klassifikation Kriterium: Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt Marc Cremer 63 Fazit Strukturiertes, methodisches Vorgehen Zielsetzung Ausführlicher Vertrag Dokumentation Penetrationstest ist lediglich eine Momentaufnahme Leitfaden Marc Cremer 64

33 Literatur Bundesamt für Sicherheit in der Informationstechnik (BSI): Durchführungskonzept für Penetrationstests, November 2003 Marc Cremer 65