Das eine Penetration Testing gibt es nicht. Auch wenn man dies sicherlich bei dem ein oder anderen Dienstleister so verkauft bekommen kann. Die Begebenheiten sind immer unterschiedlich. Pentests lassen sich stattdessen in unterschiedliche Zielrichtungen gliedern. Ich zeige hier, welche das sind.
Infrastruktur-Pentests
Der »Infrastruktur-Pentest« oder auch »Netzwerk-Pentest« fokussiert sich darauf, welche Angriffspunkte über das Netzwerk auf den Zielsystemen gefunden und erreicht werden können. Oft werden diese von Pentestern durchgeführt, die ihre Wurzeln in der Netzwerk- sowie System-Administration haben und ein sehr breites Wissen von Infrastrukturen und Applikationen besitzen. Unter diesen Pentestern gibt es oft wiederum Spezialisierungen, sodass der eine z.B. viel Erfahrung mit SAP aufweisen kann und der nächste z.B. mehr Hintergrundwissen in Windows-Domänen und deren Ausnutzung mitbringt.
Windows-Domain-/Active-Directory-Pentest
Gegebenenfalls auch als Unterkategorie des »Infrastruktur-Pentests« klassifizierbar, ist es mittlerweile auch sehr geläufig, gezielt das Vertrauensrückrad vieler Firmen – das Active Directory gezielt anzugreifen.
Neben klassischen Infrastruktur-Angriffstechniken geht es hierbei unter anderem um das Ausnutzen von Windows-Authentifizierungsprotokollen wie NTLM und Kerberos sowie die über das Active Directory abgebildeten Rechtegruppen und Vertrauensstrukturen.
Webapplication Penetration Testing
Natürlich findet der Infrastruktur-Pentester auch viele Webapplikationen, die nicht selten dazu genutzt werden, die Rechte im Netzwerk durch z.B. schlecht gesicherte Passwörter auszuweiten. Jedoch könnte das Untersuchen einer einzigen Webapplikation den kompletten Zeitraum eines Pentests in Anspruch nehmen.
Webapplikationen stellen quasi den Kaninchenbau der Infrastruktur-Pentests dar. Aus diesem Grund werden häufig gezielte Webapplication-Pentests beauftragt, bei denen der Fokus auf einzelnen Webapplikationen oder mehreren zusammenhängenden Webapplikationen liegt und die durch den Scope darauf begrenzt werden.
Hierbei geht es häufig darum, Logikfehler in der Programmierung von Abläufen zu finden, die z.B. das Umgehen von Sicherheitsmechanismen in der Webapplikation oder das Aufrufen von Daten fremder Accounts ermöglichen könnten. Aber das sind nur wenige von vielen möglichen Schwachstellen. Wer sich einen Überblick über die gängigsten Webapplikationsschwachstellen verschaffen will, sollte sich unbedingt die »OWASP-Top-10« auf der OWASP-Webseite zu Gemüte führen.
Pentester mit dem Fokus auf Webapplication Penetration Testing kommen sehr oft aus der Webentwicklung und haben häufig einen deutlich stärkeren Programmier-Background als Infrastruktur-Pentester. Dafür fehlt gegebenenfalls das tief gehende Verständnis für Infrastrukturen wie z.B. Microsoft-Domänen.
Application-Pentests
Bei Applikations-Pentests werden einzelne Programme auseinandergenommen und auf Schwachstellen untersucht. Dies kann z.B. auf Quellcode-Ebene geschehen, um mögliche Buffer-Overflow-Konditionen zu identifizieren.
Genauso gut kann dies durch das sogenannte Reverse-Engineering geschehen, bei dem kein Quellcode zur Verfügung steht, sondern der Maschinencode (Assembly Code) in Reverse-Engineering-Tools wie IDA Pro oder in Debuggern zur Laufzeit der Applikationen betrachtet wird.
Auch kann man Applikationen »blind« von außen mit sogenannten Fuzzern auf verschiedenen Wegen mit Zufallsdaten bombardieren, bis sie abstürzen und damit einen Hinweis auf unsaubere Verarbeitung der Eingabedaten geben.
Ein gutes Vorbild für Applicationen-Pentester stellt wahrscheinlich Tavis Ormandy dar, der zurzeit bei Googles Project-Zero-Team beschäftigt ist und nahezu berüchtigt dafür ist, wie er gezielt Programme und deren Protokolle unter anderem durch Fuzzing auf Schwachstellen auditiert.
Wireless-, Physical Penetration Testing … and so much more
Nicht unerwähnt lassen möchte ich an dieser Stelle auch Wireless-Pentests, bei denen vor allem WiFi, aber auch andere Funktechnologien auf Herz und Nieren geprüft werden.
Sowie auch Physical Penetration Testing, bei dem versucht wird, in Firmen und deren Gebäude einzudringen und Zutritt zu sensiblen Bereichen und Geräten (Computern und anderen) zu erlangen. Dies geschieht häufig durch sogenanntes »Social Engineering«, dem Ausnutzen von Menschen.
Häufig finden diese Angriffe in Kombination statt, da die Reichweite von Funktechnologien begrenzt ist und sich so gut dazu eignet, mit physischen Einbruchsversuchen kombiniert zu werden.
Interessant ist, dass es durchaus auch Physical-Pentester gibt, die wenig Erfahrung in den vorangegangenen technischen Pentesting-Disziplinen aufweisen und z.B. aus der physischen Sicherheitsbranche oder aus dem Polizei- und Militärdienst kommen.
All-In!
Nach all der vorangegangenen Differenzierung bleibt zu erwähnen, dass viele Penetrationstester im Laufe der Zeit häufig mit den meisten oder allen dieser Disziplinen in Berührung kommen.
Dabei gibt es, wie wahrscheinlich in allen Berufen, Allrounder, die in allen Bereichen unterwegs sind, hochspezialisierte Nischen-Pentester sowie Genies, die alle Disziplinen in höchster Form beherrschen.
Dieser Artikel ist ein Auszug aus dem Buch „Penetration Testing mit Metasploit“ von Sebastian Brabetz. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.