Pentest-Szenarien
Aus dem Internet erreichbare Systeme
Bei diesem Szenario untersuche ich Ihre über das öffentliche Internet erreichbaren Systeme auf Schwachstellen. Dazu benennen Sie die Systeme im Kickoff in Form von IP-Adressen oder Adressbereichen oder auflösbaren Hostnamen. Ich identifiziere die erreichbaren Dienste, Betriebssysteme und Applikationen und setze in einem ersten Schritt Schwachstellenscanner ein. Die identifizierten Schwachstellen verifiziere ich manuell, um falsch-positive Ergebnisse auszusortieren, und setze zusätzliche Werkzeuge ein, um weitere Probleme zu identifizieren, die für Schwachstellenscanner nicht zu finden sind.
Web-Applikationen / Web-Services
In diesem Szenario überprüfe ich Webapplikationen (die im Browser von Menschen genutzt werden) oder Web-Services (also auf HTTP basierende Client/Server-Schnittstellen z.B. für mobile Applikationen) auf ihre Sicherheit. Auch den Webserver und dahinterliegende Applikations- und/oder Datenbank-Server kann ich dabei untersuchen. Besonderes Augenmerk lege ich dabei auf Sitzungsmanagement, Authentifizierung und Autorisierung, Validierung von Eingabedaten sowie die jeweils aktuellen OWASP Top 10. Im Kickoff benennen Sie den Testumfang anhand von URLs und/oder IP-Adressen und den zu testenden Bereichen (öffentlich, mit Anmeldung, Administrations-Bereich, etc.). Zur Durchführung benötige ich je nach zu testenden Bereichen vorübergehend Zugangsdaten.
Internes Netzwerk mit physischem Zugriff
Ihr internes Netzwerk ist zwar weniger potentiellen Angreifern ausgesetzt als über das öffentliche Internet zugängliche Dienste; dafür sind die Angriffsmöglichkeiten aber ungleich größer. In diesem Szenario nehme ich die Rolle eines Innentäters ein (also z.B. Gäste, Putz- oder Maintenance-Personal, Praktikanten, Fremdfirmen) mit physischem Zugang zu Ihrem Unternehmensnetzwerk. Den Test führe ich mit meinem eigenen Notebook in Ihren Büroräumen durch. Dazu identifiziere ich interne Netzwerk-Bereiche, Systeme und Dienste, analysiere Schwachstellen, teste Rechte-Ausweitung und Ausbreitung über Systemgrenzen hinweg. Im Kickoff legen Sie den Fokus entweder auf Breite, also die zügige Überprüfung vieler oder sogar aller erreichbaren Systeme und das Finden nur der einfachsten Angriffsmöglichkeiten, oder auf Tiefe, also eine detailliertere Überprüfung konkret benannter Systeme.
Internes Netzwerk mit typischem Mitarbeiter-Rechner
In diesem Szenario stellen Sie mir einen typisch konfigurierten Mitarbeiter-Rechner mit typischen Zugängen (E-Mail, VPN, Intranet, Applikationen, usw.) zur Verfügung, den ich auf Schwachstellen überprüfe. Das Szenario deckt sowohl einen böswilligen Innentäter ab als auch ein abhanden gekommenes Mitarbeiter-Notebook. Schwerpunkte hierbei sind physische Angriffe (Booten von externen Medien), Festplatten-Verschlüsselung und deren Umgehung, Patch-Stand eingesetzter Client-Software, Überprüfung von Berechtigungen auf Netzwerk-Freigaben, Rechteausweitung lokal und im Netzwerk.
WLAN
Hier überprüfe ich die Sicherheit Ihrer drahtlosen WLAN-Netzwerke mit Fokus auf die Verschlüsselung und Zugangskontrolle. Besondere Gefahr von Drahtlos-Netzwerken ist, dass sie über die Grenzen Ihres Firmengeländes hinaus empfangbar sein können und damit das interne Netz Angriffen von außen aussetzen kann.
Analyse von Software-Quellcode
Wenn Sie Software selbst entwickeln oder individuell für Sie entwickelte Software einsetzen, überprüfe ich diese Software auf Schwachstellen. Bei vorliegendem Quellcode nehme ich ein Review von sicherheitskritischer Funktionalität wie Authentifizierung, Berechtigungskonzept, Verschlüsselung, Validierung von Eingabedaten, Datenhaltung, Nachladen von Software-Updates, usw. vor. Auch Tools zur statischen und dynamischen Codeanalyse können dabei zum Einsatz kommen. Sollte der Quellcode nicht vorliegen, teste ich mit Reverse-Engineering-Methoden.
Individuelle Szenarien
Wenn Sie Wünsche haben, die von den beschriebenen Szenarien abweichen, fragen Sie mich gerne an.
Beispiele:
- Ihr Unternehmen stellt Geräte mit Kommunikations-Schnittstellen (z.B. IoT-Geräte) her oder schreibt Software für solche Systeme.
- Sie möchten Ihre eigenen Mitarbeiter ausbilden, selbst Penetrationstests und Sicherheits-Analysen durchzuführen.
- Sie möchten Ihre Software-Entwickler für Sicherheits-Aspekte sensibilisieren.