SaarBlogger.org

Gemeinschaft der Blogger an der Saar

Beitragsbild Monatstreffen 27

Sicherheit und Penetration Test Vorführung

| Keine Kommentare

Ein Workshop zum Thema Sicherheit bei KFK

Nachdem bei den SaarBlogger Monatstreffen weniger eigene Arbeit als die Geselligkeit im Vordergrund stehen sollte, nehmen wir gerne Gelegenheiten wahr, Veranstaltungen zu IT-Themen im regionalen Umfeld zu besuchen. Eine solche war der Workshop zum Thema Sicherheit mit dem Titel „KFK Penetrations-Test & HP Premium Security Features“ bei der Firma KFK in Saarbrücken/Güdingen. Diese war uns schon bekannt, denn sie waren Sponsoren des SaarCamp 2016. Angesichts ständig erhöhter Bedrohungslagen versprach der Abend, interessant zu werden.

Nach einer kurzen Begrüßung durch den Geschäftsführer Jörg Fess ging das Wort an Timo Klein und Marcel Schmidt. Die Agenda wurde kurz umrissen mit den Themen rechtlicher Hintergrund, warum und wie erfolgen Penetration Tests, Schutzmöglichkeiten und ein abschließender Live Hack.

Die Referenten des Abends von KFK zum Thema Sicherheit in der Präsentation...

Die Referenten des Abends von KFK zum Thema Sicherheit in der Präsentation…

Wozu Penetration Tests?

Nachdem klar ist, dass Angriffe auf Daten und die sie bereitstellende Infrastrukturen strafbar sind, ist verständlich, dass man auch Abwehrmaßnahmen dagegen aufstellen möchte. Doch wie wirksam sind diese? Hier setzten die beauftragten Angriffe auf die eigenen Systeme ein. Man will Schwachstellen erkennen, Mitarbeiter sensibilisieren und die Gegenmaßnahmen gegebenenfalls verbessern. Um solche Angriffe durchzuführen benötigt man grundlegende Kenntnisse zum Netzwerk und zu angeschlossenen Rechnern.

Wie verlaufen Penetration Tests?

Entsprechend bereits vorhandener Informationen kommen unterschiedliche Angriffsszenarien in Frage. Aus einem großen Werkzeugkasten wählt man Programme aus, die bereits bekannte Schwachstellen erkunden und große Teile einer solchen Untersuchung automatisieren. Der Aufwand kann dann unterschiedlich groß werden. Es gibt offensichtliche Lücken im Sicherheitsnetz, aber auch solche, nach denen man intensiver fahnden muss. Die Penetration beginnt mit dem Eindringen in die Geschäftsräume (physisch/virtuell) des Opfers. Auf jeden Fall steht am Ende eine Auswertung, die mit dem Auftraggeber besprochen wird und idealerweise zur Schließung von aufgefundenen Schwachstellen führt.

Warum gibt es überhaupt eine Gefährdung?

Schon bei der Softwareerstellung muss abgewogen werden zwischen ökonomischen Aspekten und einem einzuhaltendem Sicherheitsniveau. Beides gleichzeitig zu optimieren geht nicht. Und auch bei einem Sicherheitstest gibt es diese Abwägung. Hinzu kommt ein Zeitfaktor. Es wurden in letzter Zeit Sicherheitslücken in Software gefunden, die seit über zehn Jahren bestanden, die aber auch von der kriminellen Seite nicht entdeckt wurden. Bei Bekanntwerden ist Schnelligkeit angesagt (Zero Day Vulnerability). Opensource Software stellt meist innerhalb weniger Stunden notwendige Patches bereit, um das System wieder abzudichten. In Gefahr sind vor allem veraltete Systeme! Sicherheit herzustellen ist eine Daueraufgabe.

Wo liegen die größten Gefahrenpunkte?

Hier wurde auf den größten Schwachpunkt eingegangen: den Menschen. Social Engineering ist hier das Stichwort. Hier lässt sich schon viel erreichen durch die Sensibilisierung der Mitarbeiter und das Einhalten geeigneter Vorschriften. Im Netz sind die größten Schwachpunkte dort, wo ein leichter Zugang besteht. Das ist heute oft bei Funkverbindungen (WiFi/WLAN) der Fall. Ein dritter Punkt liegt in Angriffsszenarien, denen ein DDOS zugrunde liegt. Hier werden Botnetze genutzt, um ein Opfer handlungsunfähig zu machen. Hier helfen dann nur ebensogroße Abwehrkapazitäten.

Habe ich eine Chance?

Natürlich, es gibt keine absolute Sicherheit. Durch die fortdauernde Digitalisierung gibt es Daten und Programme allüberall. Aber wenn man bedenkt, dass in bekannt gewordenen Passwortlisten zweidrittel aller Passworte diese trivial waren (12345, asdf usw.), dann sieht man, dass schon viel getan werden kann, um einen grundlegenden Schutz zu erreichen. Im Netz finden sich viele Anleitungen dazu. Erst dann kommt eine Analyse auf technischer Ebene hinzu. Und auch hier wird erkennbar, dass viele Systemadministratoren schlicht ihre normalen Hausaufgaben nicht machen. Es gilt, wie bei einer privaten Wohnung, es einem Angreifer so schwer wie möglich zu machen. Da auch dieser ökonomisch arbeitet, lässt er frühzeitig von seinem Unterfangen ab. Im Workshop von KFK wurden dann – wie der Titel vermuten lässt – Werkzeuge vom Hersteller HP benannt.

Allgemein gibt es verschiedene Ansatzpunkte. Einmal kann Sicherheit durch geschickte Architekturen hergestellt werden. Nicht jeder Rechner benötigt eine Verbindung ins Internet. Ein wichtiger Aspekt bei der Organisation ist Vertrauen. Wem vertraue ich wann. In Vertrauenshierarchien sind sowohl Menschen als auch Programme einbezogen. Und ganz wichtig bleibt ein Konzept: alle Informationen und Maßnahmen gut dokumentieren. Wenn niemand Bescheid weiß und der Admin das Unternehmen verlassen hat, kann auch niemand eine Abwehrstrategie entwickeln.

... und in Person. Von links: GF Fess, Schmidt, Klein

… und in Person. Von links: GF Fess, Schmidt, Klein

Zum Abschluss: Hacken eines Smartphones und eines Notebooks

Ein vorbereitetes Smartphone musste dann herhalten, sich hacken zu lassen. OK, es war gerootet und entsprechend schnell kam der Angreifer zum Ziel. Es gruselte das Publikum schon etwas, mitzuerleben, wie das Smartphone so zu einer lauschenden Wanze mutierte. Wie sagte der Referent: „Ich kann jetzt ALLES machen.“ und „So einfach geht das!“

Fazit für uns Blogger

Blogger haben oft noch eine Nähe zur IT-Technik. Mehr als ein einfacher Büroanwender oder Geschäftsführer. Für diese war die Veranstaltung gut zur Sensibilisierung für das Thema, um zu zeigen, wie leicht Angreifbarkeit immer noch gegeben ist. Für Blogger liegt eine speziellere Situation vor. Im wesentlichen gibt es ein Betriebssystem, ein Webverwaltungswerkzeug und ein CMS/Contentmanagementsystem, die Angriffen ausgesetzt sind. Der gesamte Rechner befindet sich unmittelbar im Netz. Entsprechend sind hier Sicherheitsmaßnahmen umzusetzen die sich von denen unterscheiden, die in einem lokalen Netzwerk in einem Unternehmen zu ergreifen sind.

Das Thema Absicherung eines Blogs wird sicher die SaarBlogger weiterhin beschäftigen und es wird auch Beiträge dazu geben.

Die Firma KFK hat allen Teilnehmern und uns dankenswerterweise die Präsentation KFK – Vortrag Workshop Penetration Test IT-Sicherheit 2017-04-27 zum Nachlesen zukommen lassen. Die Datei liegt auch im Format odp vor.

Andreas Sutor on GoogleAndreas Sutor on LinkedinAndreas Sutor on Twitter
Andreas Sutor
Andreas Sutor ist von Anfang an bei den SaarBloggern dabei. Denn diese Gruppe wurde von ihm ins Leben gerufen. Wie hier im Blog berichtet geschah dies nach einer Session beim SaarCamp. Die Teilnehmer wollten das Thema Bloggen im Saarland weiter verfolgen.

Für ihn sind die verfügbaren Werkzeuge zum Bloggen so vielfältig und die Vorteile eines selbst beherbergten Blogs so überzeugend, dass noch viel mehr Saarländer sich diesem Thema widmen sollten.

Gerne hilft er auch Unternehmen dabei, einen Firmenblog einzurichten und zu betreiben. Selbst wenn das Betreiben eines solchen Blogs in Eigenregie möglich ist, ist eine gelegentliche externe Betreuung sehr sinnvoll.

Autor: Andreas Sutor

Andreas Sutor ist von Anfang an bei den SaarBloggern dabei. Denn diese Gruppe wurde von ihm ins Leben gerufen. Wie hier im Blog berichtet geschah dies nach einer Session beim SaarCamp. Die Teilnehmer wollten das Thema Bloggen im Saarland weiter verfolgen. Für ihn sind die verfügbaren Werkzeuge zum Bloggen so vielfältig und die Vorteile eines selbst beherbergten Blogs so überzeugend, dass noch viel mehr Saarländer sich diesem Thema widmen sollten. Gerne hilft er auch Unternehmen dabei, einen Firmenblog einzurichten und zu betreiben. Selbst wenn das Betreiben eines solchen Blogs in Eigenregie möglich ist, ist eine gelegentliche externe Betreuung sehr sinnvoll.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.