Willkommen in Sicherheit Pen-Tests im Rahmen von IT-Sicherheitsaudits XChange-Seminar am Institut für Sicherheit im E-Business (ISEB) Marek Stiefenhofer: m.stiefenhofer@r-tec.net 2 Bilderleisten Teil 2 Kurzvorstellung r-tec Einführung: IT Sicherheitsmanagement und Penetrationstests als Auditwerkzeuge Problemstellung: Penetrationstests im Spannungsfeld formaler Anforderungen und Problemstellungen aus der Praxis Umsetzung r-tec Zusammenfassung 1
3 r-tec: Das Unternehmen Unternehmen der Böhme & Weihs Gruppe Gründungsjahr: 1995 als Spin-Off Dienstleister spezialisiert auf IT-Sicherheit Standorte: Sprockhövel, Aalen über B&W in Lyon (F), Graz (A) Prozessorientierte Unternehmensstruktur/ Betrieb eines eigenen Supportcenter nach ITIL Zertifiziert durch den TÜV nach ISO 9001-2000 Über 200 Kunden in Support- und Wartungsverträgen 4 r-tec: Schwerpunkte Beratung Network Security Endpoint Security Comm Security Risikoanalyse Security Audits/ Penetrationstest Sicherheitskonzepte (ITIL/ BSI/ 27000) SLA-Erstellung und -Management Firewall Web-, Mail-, Spamfilter Intrusion Detection/ -Prevention VoIP/ WLAN / 802.1x PC Firewall Schnittstellenmanagement Authentisierung/ SSO Verschlüsselung VPN/ SSL-VPN PKI/ Identymanagement Mailsecurity; Mailverfügbarkeit Mail- und Datenverschlüsselung 2
5 Kundenstruktur Public 19% Finance 17% Utility 15% Industry 49% 6 Einführung IT Sicherheitsmanagement Penetrationstests als Auditwerkzeuge 3
7 IT-Sicherheitsmanagementsysteme Interessierte Parteien Interessierte Parteien z.b. Geschäftspartner Kunden Aufsichtsbehörden Informationssicherheitsanforderungen und erwartungen: KonTraG, BDSG, Basel II, Wettbewerb, Auftragsvergabe gemanagte Informationssicherheit 8 Der IT-Sicherheitsmanagementprozess im Detail Anforderungen Management- Initialisierung Analyse Prozesse Systeme Organisation Planung und Umsetzung Technische Systeme Betrieb/ Monitoring IT- Sicherheit Sicherheitsanforderungen verstehen (übergeordnete) Sicherheitspolitik definieren, die generelle Ziele der Sicherheit definieren Sicherheitsbeauftragten und Organisation etablieren Sicherheitsstrategie entwickeln oder überprüfen Schutzbedarf feststellen Bedrohungsanalysen Risikoanalysen Sicherheitsanforderungen ableiten Status ermitteln Was muss geregelt werden? Administration/ Wie muss es geregelt werden Dokumentenmanagement (übergreifend oder detailliert)? Sicherheitskonzepte Schulungen und erarbeiten Awareness präventiv Kenngrößen ermitteln reaktiv Audits/Assessments restaurativ Policies/Richtlinien definieren Einführung projektieren Schulungen durchführen 4
9 Audits im Sicherheitsmanagementsystem Audit = Untersuchungsverfahren zur Bewertung von Prozessen hinsichtlich der Erfüllung von Anforderungen und Richtlinien. Interne Richtlinien Gesetzliche Anforderungen (SOX, KonTraG, DSG, PCI, BetrVG ) Anforderungen von Kunden (z.b. Automotive-Branche) Anforderungen aus dem Wettbewerb Nationale Standards (IT-Grundschutz, IDW PS 330) Internationale Standards (ISO-27000-Reihe) Erwartung: Ein Audit ist ein formales systematisches Verfahren. 10 Penetrationstests als Auditwerkzeuge Analyse des IST-Standes Ermittlung des derzeitigen Sicherheitsniveaus Ableitung von Zielen Definition angemessener Maßnahmen Analyse der Zielerreichung Kontrolle der Umsetzung von Maßnahmen Vergleich mit vorangegangenen Audits Erfüllung (gesetzlicher) Anforderungen 5
11 Definition Pen-Test Ein Pentrationstest ist eine Methode, die Sicherheit eines Computersystems oder Netzwerkes zu evaluieren, indem Angriffe durch einen böswilligen Benutzer (Cracker, oft inkorrekt Hacker) simuliert werden. Erwartungen: Methode systematisch nachvollziehbar vergleichbar umfassend Evaluation aussagekräftig risikobezogen Simulation praxisnah abwägend 12 Praxiserfahrung r-tec Pen-Tests (1) Ein Penetrationstest ist ein kreativer Prozess, bei dem man sich verschiedener Analysemethoden bedient, um eine praxisrelevante Bewertung des Sicherheitsniveaus bestimmter IT-Ressourcen vorzunehmen. Besonderheiten: Methode (kreativer Prozess) systematisch aber hochgradig individuell nachvollziehbar schlecht vergleichbar fokussiert Analysemethoden praxisnah kundenspezifisch 6
13 Praxiserfahrung r-tec Pen-Tests (2) Ein Penetrationstest ist ein kreativer Prozess, bei dem man sich verschiedener Analysemethoden bedient, um eine praxisrelevante Bewertung des Sicherheitsniveaus bestimmter IT-Ressourcen vorzunehmen. Besonderheiten: praxisrelevante Bewertung aussagekräftig risikobezogen Kundenspezifisch Sicherheitsniveau Risikobewertung (in der Regel informell) Ideal: Bezug auf Geschäftsprozesse 15 Problemstellung Penetrationstests im Spannungsfeld formaler Anforderungen und Problemstellungen aus der Praxis 7
16 Problemfelder Rechtliche Hindernisse Kreativität Formalismus Aussagekraft Praxisnähe Vollständigkeit/Tiefe Stabilität/Integrität Plausibilität Professionalität 17 Problemfeld: Rechtliche Hindernisse August 2007: 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität tritt in Kraft Einführung des 202c StGB sog. Hackerparagraph 202c StGB stellt ein abstraktes Gefährdungsdelikt dar, d.h. bereits die Vorbereitung einer Computerstraftat begründet die Strafbarkeit, z.b. Beschaffung entspr. Computerprogramme Große Unsicherheit für Unternehmen, die Software zur Schwachstellenanalyse als gutartige Werkzeuge einsetzen Frage der Strafbarkeit ist für Dienstleister existenziell Mögliche Beeinträchtigung der Interessen von Arbeitnehmern Frage des Besitzes von Computersystemen, Software und Daten 8
18 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (1) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de European Expert Group for IT-Security (eicar): Leitfaden - Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität 19 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (2) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de Der in dem 41. Strafrechtsänderungsgesetz zur European Expert Group for IT-Security (eicar): Leitfaden Bekämpfung - Strafbarkeit beim der Umgang Computerkriminalität mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vorgeschlagene 202c Abs. 1 Nr. 2 StGB sieht nicht per se ein Verbot für bestimmte Computerprogramme vor. Vielmehr sollen mit dem neuen 202c StGB bestimmte besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten unter Strafe gestellt werden. Dabei ist sichergestellt, dass der gutwillige Umgang mit Computerprogrammen zur Sicherheitsüberprüfung von IT-Systemen nicht erfasst wird. 9
20 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (3) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de European Der so Expert genannte Group for Hackerparagraph IT-Security (eicar): lässt Leitfaden Sicherheitsexperten - Strafbarkeit beim Umgang genügend mit IT-Sicherheitstools Raum, Hackernach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität Werkzeuge zum Testen von Software-Exploits oder Lücken in Netzwerken einzusetzen. Voraussetzung dafür ist allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze muss obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen. 21 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Praxisvorschläge (1) Sorgfalt im Umgang mit Hackertools und Malware Sichere Testumgebung (strenge Netztrennung, Verschlüsselung, stark eingeschränkter Zugriff, kunden-/ projektspezifische Firewallregeln) Ausschließlich interner Gebrauch vom Pen-Test-Team Regelmäßige Revision der Tools Ausführliche Dokumentation Übersicht über Herkunft, Einsatzgebiet und Beschaffungsdatum der Tools Protokollierung während des Einsatzes: Kunde, Zielnetze bzw. -systeme, Tester, Tool, Start, Ende Vertragliche Regelungen, Einwilligungserklärung 10
22 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Praxisvorschläge (2) Schriftliche Fixierung der Rahmenbedingungen Methode, Besonderheiten, Aggressivität Zielsysteme und Quellsysteme Zeitrahmen, Zeitfenster Ansprechpartner, Projektmitarbeiter, Notfallkontakte Einverständniserklärung des Auftraggebers Ausdrückliches Einverständnis mit der vereinbarten Methode (Simulation von Angriffen, Einsatz entsprechender Tools, Zugriff auf sensible Daten usw.) Ausdrückliche Legitimation von der Unternehmensleitung bis zur beauftragenden Stelle Bestätigung des AG über die Eigentümerschaft der Zielsysteme/ Programme/ Daten Bestätigung des AG über die Wahrung der Arbeitnehmerrechte Haftungsfreistellung des Auftragnehmers bei Zuwiderhandlung Geheimhaltungsvereinbarung Kann auch der Absicherung des Auftragnehmers dienen 23 Problemfeld: Kreativität Formalismus Formales und systematisches Vorgehen ist unabdingbar für: Vergleichbarkeit; Vollständigkeit; Nachvollziehbarkeit. Kreativität ist unabdingbar, da: Praxisnähe gefordert wird; jedes Projekt hochgradig individuell ist; ein Penetrationstest über einen Schwachstellenscan hinausgeht; nur darüber Experten-Know-How eingebracht werden kann. Nur die Kombination aus beiden Fähigkeiten führt zu aussagekräftigen Ergebnissen. 11
24 Lösungsansätze: Kreativität Formalismus Orientierungshilfen Formales und systematisches Vorgehen: BSI-Studie: "Durchführungskonzept für Penetrationstests" ISECOM: Open Source Security Testing Methodology Manual (OSSTMM) Kreativität: Projekterfahrung in möglichst vielen IT-Securitybereichen, sowohl technisch als auch organisatorisch Allround-Produktkenntniss, Protokollkenntnis, Skripting/ Coding Experimentierfreude, Praxis, Praxis, Praxis 25 Lösungsansätze: Kreativität Formalismus Beispiele B2B Transaktionsportal Internationale Großbank Nur Minimale Konfigurationsschwächen innerhalb der Serverdienste eigentlich sehr positives Testergebnis Aber: passender Java-Fat-Client bei lettischer Bank als Download erhältlich Damit: Protokollanalyse (French Café, Decompilierung) Protokollfuzzing DoS des Applikationservers International tätiger Automobilzulieferer Webserver mit interaktivem Produktkatalog DoS im Suchfeld: * Auftrag für Nachaudit: Problem behoben Aber: *** 12
26 Problemfeld: Aussagekraft Praxisnähe Beispiel IDS/IPS: 27 Problemfeld: Aussagekraft Praxisnähe Beispiel IDS/IPS: 13
28 Lösungsansätze: Aussagekraft Praxisnähe Technische Vorsorge Abwägende Parametrierung Einsatz von Anti-IPS-Techniken (schwer realisierbar) Projektvorbereitung: Detaillierte Absprachen Dokumentation des Ergebnisses, anschließend ggf. Abschaltung von Sicherheitsfeatures Oder: ausschließliche Dokumentation des Ist-Zustandes. 29 Problemfeld: Vollständigkeit/Tiefe Stabilität/Integrität Ziel des Auftraggebers: Möglichst vollständige Aufdeckung aller Schwachstellen Problem: Tests gefährden Stabilität (oft kaum vorhersehbar) Problem: Auftragnehmer erlangt Zugriff auf sensible Daten 14
30 Lösungsansätze: Vollständigkeit/Tiefe Stabilität/Integrität Genaue Absprache von Methodik und Aggressivität Benachrichtigung Notfallkontakt bei positiven Tests etc. Parametrierung der Testverfahren gemäß Vorgabe (Stichwort Warmduscher-Scan ) Umgang mit kritischen Situationen Definition von Notfallkontakten auf beiden Seiten r-tec Emergency-Stop-System Geheimhaltungsvereinbarung Wichtig: Umgang mit Daten nach Projektabschluss 31 Problemfeld: Plausibilität Professionalität Erwartungen des Auftraggebers: Ein Hacker kommt überall rein! Der Bericht darf die IT-Abteilung nicht in schlechtem Licht darstellen! Ein Pen-Test bringt 100%-ige Ergebnisse. Die Realität: Es gibt Tests die keinerlei Gefährdungspotenzial aufdecken. Es gibt Test, die sehr kritische Sicherheitslücken aufdecken. Testbericht: Der Ton macht die Musik 15
32 Lösungsansätze: Plausibilität Professionalität Keine Angriffsvektoren vorhanden: Minimales Verbesserungspotenzial findet (fast) sich immer Neuausrichtung des Projektes Veränderung der Rahmenbedingungen (Black-Box Grey-Box) Veränderung der Methoden (Social Engineering, Fishing) Bestätigung des hohen Sicherheitsniveaus Testbericht Gespür für die Erwartungen des Kunden ist gefragt Form und Stil kann angepasst werden Die Risikobewertung ist nicht verhandelbar Psychologische Effekte berücksichtigen (Ampelprinzip) 33 Umsetzung Vorgehensweise bei der r-tec 16
34 Penetrationstest: Vorgehensweise bei r-tec Phase I Phase II Phase III Phase IV Phase I: Phase II: Phase III: Phase IV: Vorbereitung passive Informationsbeschaffung und Vorbewertung aktive Untersuchungen und Eindringungsversuche (Tests) Bewertung und Analyse der Informationen sowie Risikoabschätzung 35 Ergebnis: Auswertung/ Report Inhalt Management Summary Beschreibung der Durchführung Technischer Bericht Gefährdungsbewertung Maßnahmeempfehlungen Individuell, kundenspezifisch, Zielbezogen 17
36 Zusammenfassung Penetrationstests sind hochgradig individuelle Projekte. Das Ergebnis ist stark von Know-How und Kreativität des Testers abhängig. Penetrationstests sind nur bedingt als Auditwerkzeuge geeignet. Penetrationstests sind jedoch geeignete Mittel zur Ermittlung des technischen Sicherheitsniveaus wenn der Ansatz einer informellen Risikobewertung ausreichend ist. 37 Willkommen in Sicherheit Vielen Dank für Ihre Aufmerksamkeit r-tec IT Systeme GmbH Engelsfeld 9 45549 Sprockhövel Deutschland Tel. +49 (23 39) 91 82-0 Fax +49 (23 39) 91 82-99 info@r-tec.net www.r-tec.net 18