Penetration-Testing-Standards

Üblicherweise unterscheidet sich die Qualität eines Produkts von Dienstleister zu Dienstleister. Dies gilt natürlich auch für Pentests. Wir hatten bereits erwähnt, dass bei einem solchen Test mindestens alle einfach zu entdeckenden Schwachstellen (low-hanging fruits) identifiziert werden sollten. Das Fundament hierfür bildet die Prüfung gemäß einer standardisierten Vorgehensweise. Nur über eine konkrete Vorgehensweise können wir reproduzierbare Ergebnisse erzielen und sicherstellen, dass keine offensichtlichen Schwachstellen unentdeckt bleiben. Im Allgemeinen existieren hierfür keine Vorgaben, sondern nur Richtlinien. Ein professionell durchgeführter Pentest orientiert sich daher an Penetration-Testing-Standards.

Wer von uns schon einmal in den Genuss eines Standards gekommen ist, der sollte einmal versuchen, sich an die Inhalte zurückzuerinnern. Wie du dir sicherlich schon vorstellen kannst, eignet sich dieser „Lesestoff“ hervorragend als Bettlektüre. Unsere Aufgabe ist es jedoch, aus all den Penetration-Testing-Standards eine eigene Vorgehensweise zu erstellen. Je ernster wir diese Aufgabe nehmen, desto aussagekräftiger werden die Resultate unseres Pentests. Auch interessieren sich potenzielle Auftraggeber für unsere Methodik, die wir in Kenntnis der Standards überzeugend darlegen und vertreten können. Die technische Umsetzung bzw. die Befehle bleiben jedoch unser „Betriebsgeheimnis“, welches uns von anderen Pentestern unterscheidet.

In jedem von uns steckt bereits ein kleiner Hacker: Um gezielt ein Unternehmen wie Dubius Payment Ltd. angreifen zu können, müssen wir im ersten Schritt unsere Ziele benennen. In unserem Fall also deren Netzbereiche. Des Weiteren werden wir Informationen zu den darin befindlichen Servern und den erreichbaren Diensten benötigen, um nach Schwachstellen zu suchen und diese auszunutzen. Damit ist uns das generelle Vorgehen schon bekannt. Doch welche Technologien müssen wir im Detail überprüfen?

Hierzu beschreibt das BSI in seinem Dokument „Durchführungskonzept für Penetrationstest“ im Kapitel 6.5 Module für Informationsbeschaffung und aktive Eindringversuche. Diese werden ebenso im OSSTMM referenziert. Das OSSTMM (Open Source Security Testing Methodology Manual) ist ein öffentlich verfügbares Handbuch zur Durchführung von Sicherheitstests. Vorreiter in Sachen Sicherheit von Webanwendungen ist dagegen die Non-Profit-Organistation Open Web Application Security Project (OWASP). In ihrem OWASP Testing Guide wird auf die Schwachstellen eingegangen, die in einer Webanwendung untersucht werden sollten. Ferner listet sie in ihrem Projekt OWASP TOP 10 die zehn häufigsten Schwachstellen in Webanwendungen auf.

Grundsätzlich ist die Wahl einer Vorgehensweise natürlich abhängig vom ausgewählten IT-System. Beispielsweise können wir die Vorgehensweise zur Untersuchung von IT-Infrastrukturen nicht auf mobile Anwendungen übertragen, da hierbei andere Schwachstellen beachtet werden müssen.

Erstelle mithilfe der Penetration-Testing-Standards eine eigene Vorgehensweise, um die Netzwerke von Dubius Payment Ltd. erfolgreich zu übernehmen. Deine Vorgehensweise kann bei der späteren Durchführung des Pentests als Checkliste fungieren, wenn sie strukturiert dokumentiert wird. Kennst du ein geeignetes Tool – neben cherrytree, Obsidian oder MarkText– zum Anfertigen von Notizen?

 1. Informationssammlung 
    (a) Benutzernamen des Unternehmens sammeln 
     -> LinkedIn, Facebook 
    (b) Netzbereiche identifizieren 
     -> [Befehl] 
 2.Diensterkennung 
     (a) [..]

Weiterführende Materialien

• Durchführungskonzept für Penetrationstests vom BSI
• OSSTMM von ISECOM
• OWASP Testing Guide von OWASP
• OWASP Top 10 von OWASP