Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Hacking for your security - Penetration Testing

Jens Liebchen - RedTeam Pentestingjens.liebchen@redteam-pentesting.dehttp://www.redteam-pentesting.de

22. Februar 2006

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

”Wir wissen nicht, was fur Lucken wir haben -

deshalb juckt uns das nicht.“

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Agenda

14:00 Uhr Vorstellung Penetrationtestsund Common Failures

ab ca. 15:00 Uhr freie Diskussionund tiefergehende Fragestellungen

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Uber RedTeam

I Gegrundet 2004

I Durchfuhrung von Penetrationtests

I Teambasierte Arbeit

I Forschung im IT-Security Bereich und Veroffentlichung vonAdvisories

I Eine der wenigen auf Penetrationtests spezialisierten Firmen

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Was ist ein Pentest?

I Angriff auf ein Netzwerk im Auftrag des Eigentumers

I Fragestellung: Wie weit kann ein Angreifer eindringen?

I Gleiche Methoden wie”die Bosen“

I Vertraulichkeit (NDA)

I Endet mit ausfuhrlichem Bericht fur den Kunden

I Besonderheit bei RedTeam: Kein Test nach Norm

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Was ist ein Pentest?

I Angriff auf ein Netzwerk im Auftrag des Eigentumers

I Fragestellung: Wie weit kann ein Angreifer eindringen?

I Gleiche Methoden wie”die Bosen“

I Vertraulichkeit (NDA)

I Endet mit ausfuhrlichem Bericht fur den Kunden

I Besonderheit bei RedTeam: Kein Test nach Norm

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Was ist ein Pentest?

I Angriff auf ein Netzwerk im Auftrag des Eigentumers

I Fragestellung: Wie weit kann ein Angreifer eindringen?

I Gleiche Methoden wie”die Bosen“

I Vertraulichkeit (NDA)

I Endet mit ausfuhrlichem Bericht fur den Kunden

I Besonderheit bei RedTeam: Kein Test nach Norm

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Was ist ein Pentest?

I Angriff auf ein Netzwerk im Auftrag des Eigentumers

I Fragestellung: Wie weit kann ein Angreifer eindringen?

I Gleiche Methoden wie”die Bosen“

I Vertraulichkeit (NDA)

I Endet mit ausfuhrlichem Bericht fur den Kunden

I Besonderheit bei RedTeam: Kein Test nach Norm

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Methodik

I Black- und Whiteboxtesting

I Externe oder interne Sichtweise

I In der Praxis: Blackboxansatz meist erfolgreich

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Grundsatzliches

I Ein Pentest ist kein AuditI Die getesteten Netzwerke sind in der Regel komplex, daher:

I Normalerweise nicht besonders verdeckt (viele Logmeldungen)I Pentests sind ergebnisorientiert

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Grundsatzliches

I Ein Pentest ist kein AuditI Die getesteten Netzwerke sind in der Regel komplex, daher:

I Normalerweise nicht besonders verdeckt (viele Logmeldungen)I Pentests sind ergebnisorientiert

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die vier Phasen

I Reconnaissance

I Enumeration

I Exploitation

I Bericht und Vorstellung der Ergebnisse beim Kunden

Sehr idealisiert, in der Praxis oft vermischt. Hierdurch schnellereErgebnisse fur den Kunden.

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Reconnaissance (Aufklarung)

I Homepages

I Google

I DNS

I Whois

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Enumeration: Finden von Angriffsvektoren

I Port scanning

I (Verwundbare) Versionen von Diensten/Systemen feststellen

I Konfigurationsfehler

I Installierte Software auf neue Fehler untersuchen

I Sonstige kreative Ideen

Aufgrund der Menge: Keine vollstandige Suche, stattdessen genauwie ein echter Angreifer:

”Hauptsache, rein!“

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Exploitation

Ausnutzen von Sicherheitslucken:

I Verifizieren: Haben wir wirklich eine Lucke?

I Was konnen wir durch Ausnutzen der Lucke erreichen?

I Angriff, sofern Risiko des Angriffs nicht zu hoch (gerade beiLivesystemen)

I Nach erfolgreichem Angriff startet wieder Reconnaissance

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Exploitation

Ausnutzen von Sicherheitslucken:

I Verifizieren: Haben wir wirklich eine Lucke?

I Was konnen wir durch Ausnutzen der Lucke erreichen?

I Angriff, sofern Risiko des Angriffs nicht zu hoch (gerade beiLivesystemen)

I Nach erfolgreichem Angriff startet wieder Reconnaissance

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Joker

Was sind Joker, wofur braucht man die?

I Zeit/Geld sparen

I Software konnte in Zukunft verwundbar sein

I Angreifer konnten einen eigenen Exploit entwickeln

I Testen von Second-Line-Defense

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Motivation fur die Durchfuhrung eines Pentests

I Wie sicher sind wir wirklich?I Realitatsnahe Uberprufung der eigenen MaßnahmenI Angst vor IndustriespionageI Vorbeugung von

”Betriebsblindheit“

I Kontrollsystem vom Gesetz vorgeschrieben

I Indirekte GrundeI Werbung/ImagegewinnI Schutz der eigenen Kunden (netzwerkbasierende Produkte)

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Motivation fur die Durchfuhrung eines Pentests

I Wie sicher sind wir wirklich?I Realitatsnahe Uberprufung der eigenen MaßnahmenI Angst vor IndustriespionageI Vorbeugung von

”Betriebsblindheit“

I Kontrollsystem vom Gesetz vorgeschrieben

I Indirekte GrundeI Werbung/ImagegewinnI Schutz der eigenen Kunden (netzwerkbasierende Produkte)

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Resultate: Was bringt ein Pentest?

I Zeigt punktuell relevante Schwachstellen(klassen) auf

I Was steht im Bericht?

I Wie nutzt man die Ergebnisse des Pentests?

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Resultate: Was bringt ein Pentest?

I Zeigt punktuell relevante Schwachstellen(klassen) auf

I Was steht im Bericht?

I Wie nutzt man die Ergebnisse des Pentests?

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Resultate: Was bringt ein Pentest?

I Zeigt punktuell relevante Schwachstellen(klassen) auf

I Was steht im Bericht?

I Wie nutzt man die Ergebnisse des Pentests?

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 1

I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des

Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme

I Schwache PassworterI Unsichere Konfiguration

I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren

I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.

I Zuviele Dienste auf einem Server

I Unnotige Dienste

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar

I Bsp.: Userprofiles → Autostartordner. . .

I Unsicheres WLAN (gerne auch direkt im Firmennetz)

I”Verdachtiges“ wird nicht weitergemeldet

I Backups fur alle lesbar

I Incident Response nicht vorhanden

I Schlechte physikalische Sicherheit

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Die ublichen Verdachtigen Teil 2

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing

Uber RedTeamWas ist ein Pentest

Ablauf eines PentestsResultate eines Pentests

Ubliche Fehler

Fragen / freie Diskussion

Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing