• December 23, 2021
  • Lesezeit 15 Minuten
Warum sind Penetrationstests wichtig?
Inhaltsübersicht

Einführung

Cyberkriminalität ist heute ein riesiges Geschäft. Die für das Jahr 2021 prognostizierten Schäden belaufen sich weltweit auf 6 Billionen USD (zur Erinnerung: eine Billion sind eine Million Millionen – ja, so viel). Um die Dinge in die richtige Perspektive zu rücken, stellt die Cyberkriminalität Giganten wie Tesla, Facebook, Microsoft, Apple, Amazon und Walmart in den Schatten, was die Einnahmen angeht. Ihr gemeinsamer Jahresumsatz beläuft sich auf „nur“ 1,28 Billionen Dollar.

Die einfache Wahrheit, dass Information gleich Macht ist, ist in der heutigen Zeit aktueller denn je. Unternehmen und sogar Menschenleben sind gefährdet, weil wertvolle und sensible Cyberdaten für Hacker zugänglich sind und missbraucht werden können. Es gibt nichts, was man tun könnte, um Cyberangriffe vollständig zu verhindern. Glücklicherweise können Sie Ihr Sicherheitssystem verbessern. Machen Sie den ersten Schritt! Engagieren Sie ein Team professioneller Pentester, die Ihr System unter kontrollierten Bedingungen angreifen und seine Schwachstellen aufdecken, um sicherzustellen, dass es böswilligen Einbrüchen standhält.

Vorbeugende ethische Cyberangriffe sind gut organisierte Penetrationstests, und in diesem Artikel werden wir alle Details und Besonderheiten sowie die damit verbundenen potenziellen Risiken aufdecken und noch einmal betonen, wie wichtig die rechtzeitige Erkennung von Cyberschwachstellen ist.

Warum sind Penetrationstests wichtig?

Was sind Penetrationstests?

Penetrationstests, auch bekannt als Pen-Tests, Sicherheitstests oder Ethical Hacking, sind ein äußerst effektiver Ansatz zur Bewertung der aktuellen Sicherheitslage eines Systems. Unter Penetration versteht man das Ausmaß, in dem ein hypothetischer böswilliger Benutzer (Hacker) in Cybersicherheitsmaßnahmen und -protokolle eindringen kann. Penetrationstests sind also ein autorisierter Versuch, sich unbefugten Zugang zu verschaffen – einfach ausgedrückt: es zu hacken.

Warum sind Penetrationstests wichtig?

Wie werden Sie am wahrscheinlichsten gehackt?

Im Folgenden haben wir eine Liste der häufigsten Ziele bösartiger Angriffe sowie der wichtigsten Cyber-Bedrohungen zusammengestellt. Hier ist unsere „Most Likely To Get You Hacked“-Liste:

Mobile Anwendungen

Fehlender Schutz der Binärdateien – wird beschrieben durch das Fehlen von Mechanismen, die verhindern, dass die Binärdateien einer Anwendung zurückentwickelt und verändert werden können. Ohne angemessenen Binärschutz ist es möglich, eine Anwendung zu dekompilieren und den Quellcode einzusehen.

Beispiel: Android verlangt, dass alle Apps mit einem Zertifikat digital signiert werden, bevor sie installiert werden können. Android verwendet dieses Zertifikat, um den Autor einer App zu identifizieren, und das Zertifikat muss nicht von einer Zertifizierungsstelle signiert werden. Android-Apps verwenden oft selbstsignierte Zertifikate. Daher kann ein böswilliger Benutzer beliebige Informationen in das Zertifikat eingeben, um seine Anwendung zu signieren – keine Behörde überprüft die Authentizität der Zertifikate.

Schwache Verschlüsselung – Diese Art des auf Schwachstellen basierenden Angriffs zielt auf Verschlüsselungsalgorithmen ab, die veraltet oder schwach sind oder unter umfangreichen Schwachstellen leiden.

Beispiel: Die US-Supermarktkette Wegmans Food Markets hat bekannt gegeben, dass sie eine Datenpanne erlitten hat, nachdem zwei Datenbanken online zugänglich geworden waren. Üblicherweise stehen solche Formulierungen für schwache Verschlüsselungsprobleme.

Unsichere Datenspeicherung – Dateisysteme sind normalerweise ein leichtes Ziel für böswillige Benutzer. Unzureichender Schutz kann zu Datenverlusten führen.

Beispiel: Tinder hat aufgedeckt, dass die Standorte der App-Nutzer nicht richtig verschlüsselt sind. Im Jahr 2013 wurden die Standorte von Tinder-Nutzern weitergegeben, so dass die Empfänger die genauen Standorte schnell triangulieren konnten. Tinder hat daraufhin reagiert und die Schwachstelle behoben.

Websites und Web-API

Authentifizierungs- und Autorisierungsschwachstellen – überraschenderweise die häufigsten, aber auch verbreitetsten und gefährlichsten API-Sicherheitsschwachstellen. Durch die Ausnutzung dieser Schwachstellen erhalten Angreifer leichten Zugang zum Missbrauch von Kennwörtern, Schlüsseln oder Sitzungs-Tokens.

Beispiel: Ein ehemaliger Cisco-Mitarbeiter verschaffte sich unbefugten Zugang zur Cloud-Infrastruktur des Unternehmens und setzte bösartigen Code ein, der 16.000 WebEx-Kundenkonten wochenlang lahmlegte. Die Überprüfung der Infrastruktur und die Behebung des Schadens kosteten Cisco 1,4 Millionen Dollar an Arbeitszeit der Mitarbeiter. Offenbar war der Zugang zu sensiblen Ressourcen nicht durch eine Zwei-Faktor-Authentifizierung oder andere Tools zur Zugangsverwaltung geschützt.

Injektionsschwachstellen – SQL-, NoSQL-, OS- und LDAP-Injektionen treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage gesendet werden. Diese Art von Schwachstelle resultiert aus einem Fehler beim Filtern von Eingaben aus nicht vertrauenswürdigen Quellen.

Beispiel: Das RedHack-Kollektiv nutzte SQL-Injection, um in die Website der türkischen Regierung einzudringen und Schulden bei Regierungsbehörden zu löschen.

Fehlkonfiguration der Sicherheit – eine recht weit verbreitete Schwachstelle, die sich durch eine fehlerhafte Implementierung von Sicherheitskontrollen äußert. Fehlkonfigurationen oder unsichere Konfigurationsoptionen führen dazu, dass eine Anwendung für Angriffe anfällig ist, die auf einen beliebigen Teil des Anwendungsstapels abzielen.

Beispiel: Falsch konfigurierte HTTP-Header auf der Webseite des US-Verteidigungsministeriums (https://www.sfl-tap.army.mil/). Der sicherheitsrelevante X-XSS-Protection-Header war zwar enthalten, wurde aber mit dem Wert DENY konfiguriert, der für die X-Frame-Option zu verwenden ist. Der Forscher empfahl richtigerweise, diesen Wert in 1; mode=block zu ändern.

Skripte

Cross-Site Scripting XSS – diese Art von Schwachstelle entsteht durch bösartige Skripte in einem Webbrowser des Opfers als Folge eines eingeschleusten bösartigen Codes in einer legitimen Webseite oder Webanwendung.

Beispiel: Aufgrund einer fehlenden Eingabevalidierung des Suchfelds auf lert.uber.com war es möglich, einen Reflected XSS über den URL-Pfad zu erhalten, z. B.
https://lert.uber.com/s/search/All/Home”>PAYLOAD.

Unsichere Deserialisierung – diese Schwachstelle tritt auf, wenn nicht vertrauenswürdige Daten verwendet werden, um die Logik einer Anwendung zu missbrauchen, einen Denial-of-Service (DoS)-Angriff auszulösen oder sogar beliebigen Code auszuführen, wenn sie deserialisiert werden.

Beispiel: Im September 2018 erschienen auf HackerOne Informationen über eine unsichere Deserialisierungsschwachstelle in Vanilla Forums. Die Schwachstelle ermöglichte es einem entschlossenen Angreifer, Remotecodeausführung zu erreichen.

XML External Entities (XXE) – diese Art von Angriffen nutzt externe Entitäten, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, internes Port-Scanning, Remotecodeausführung und Denial-of-Service-Angriffe offenzulegen.

Beispiel: Im Jahr 2018 wurde eine XXE-Schwachstelle veröffentlicht, die zu einem Exploit im Emblem-Editor von Rockstar Games führte. Sehen Sie sich den veröffentlichten Bericht an, der Codeschnipsel und detaillierte Angriffserklärungen enthält.

Software-Anwendungen

Defekte Zugriffskontrolle – Schwachstellen in der Zugriffskontrolle sind ziemlich häufig. Sie treten auf, wenn Fehlkonfigurationen von Berechtigungen Angreifern Zugriff und/oder die Möglichkeit geben, Daten/Dateien/Konten zu ändern, auf die sie sonst nicht zugreifen dürften. Pentesting ist die sicherste Methode, um fehlende oder unwirksame Zugriffskontrollen aufzuspüren, einschließlich HTTP-Methoden (GET vs. PUT, etc.), Controller, direkte Objektreferenzen, etc.

Beispiel: Ein Fehler ermöglichte das Herunterladen aller Aktivierungsschlüssel (auch als CD-Schlüssel bekannt) über die Spieleplattform Steam für jedes Spiel.

Verwendung von Komponenten mit bekannten Sicherheitslücken – dieses Problem ist weit verbreitet. Komponenten, zu denen Bibliotheken, Frameworks und andere Softwaremodule gehören, werden oft mit denselben Berechtigungen wie eine Anwendung ausgeführt. Wenn also eine Komponente anfällig ist, können diese Schwachstellen ausgenutzt werden, um eine Anwendung anzugreifen.

Beispiel: Im Jahr 2016 wurde ein passender Bericht über das Unternehmen Uber veröffentlicht. Uber nutzte eine veraltete Version von WordPress und verwendete ein Plugin, das inzwischen aufgrund einer Full Path Disclosure-Schwachstelle aus WordPress entfernt wurde.

Unsichere direkte Objektverweise – diese Schwachstelle ermöglicht es einem autorisierten Benutzer, die Informationen anderer Benutzer abzurufen. Mit der zunehmenden Anzahl von Anwendungen, die persönliche Daten sammeln, gewinnen Präventivmaßnahmen gegen diese Sicherheitslücke an Bedeutung.

Beispiel: Im Februar 2014 wurde diese Sicherheitslücke bei Yahoo! gefunden. Ein Hacker entdeckte die Schwachstelle in einer Unterdomäne „suggestions.yahoo.com“. Sie ermöglichte es einem Angreifer, Änderungen an dem Objekt vorzunehmen, wie z. B. das Löschen aller geposteten Themen und Kommentare auf Yahoos Website „Suggestion Board“, insgesamt mehr als anderthalb Millionen Datensätze.

Netzwerk-Hardware-Ausrüstung und Server

Fehlende Verschlüsselung – unverschlüsselte Daten können entweder über das Netzwerk gesammelt oder gestohlene Geräte mit unverschlüsselten Daten direkt darauf gespeichert werden.

Beispiel: Im Februar 2018 ermöglichte ein Vorfall im Verwaltungsamt von Pennsylvania den Zugriff auf persönliche Daten von fast 360.000 Nutzern, darunter Lehrer, Mitarbeiter von Schulbezirken und des Bildungsministeriums. Die Verschlüsselung des Zugriffs auf wichtige Informationen und die sorgfältige Verwaltung der Identitäten der Rechner, auf denen sie gespeichert sind, beugen Datenverletzungen vor.

Ransomware – diese Art von Angriffen ist ziemlich weit verbreitet. Wenn sie auf anfällige Server und Netzwerkhardware eindringen, bedeutet das große Probleme und führt oft zum Ausfall von Systemen und Netzwerkkommunikation.

Beispiel: Die unter dem Namen „Cring“ bekannte Ransomware nutzt eine Sicherheitslücke in Fortigate-VPN-Servern aus (CVE-2018-13379). Fortinet hat einen Sicherheitspatch herausgegeben, um die Schwachstelle 2019 zu beheben, aber Cyberkriminelle können den Exploit immer noch gegen Netzwerke einsetzen, die das Sicherheitsupdate noch nicht angewendet haben.

Identitätsdiebstahl (MAC-Spoofing) – geschieht, wenn der Betrüger das Netzwerk nach gültigen und ursprünglichen MAC-Adressen durchsucht, um sich als eine gültige auszugeben. Theoretisch sollte jeder Netzwerkadapter, der in ein angeschlossenes Gerät eingebaut ist, eine eindeutige MAC-Adresse (Media Access Control) haben, die nirgendwo anders zu finden ist. In der Praxis kann jedoch ein cleverer Hack diesen Zustand auf den Kopf stellen.

Beispiel: Die von Javelin Strategy & Research veröffentlichte Identitätsbetrugsstudie 2021 zeigt, dass US-Verbrauchern durch Identitätsbetrug Verluste in Höhe von 43 Milliarden US-Dollar entstanden sind. Identitätsbetrug ist relativ einfach zu inszenieren und bietet Kriminellen die Möglichkeit, die von Finanzdienstleistern aufrechterhaltenen Betrugserkennungsbarrieren zu umgehen.

Verkabelte und drahtlose Netzwerke

Böswillige Verbindung – eine Bedrohung, die auftritt, wenn auf ein drahtloses Netzwerk von einem drahtlosen Gerät, z. B. einem geknackten Laptop, statt von einem Access Point (AP) des Unternehmens zugegriffen wird. Wenn ein Angreifer Zugriff auf das drahtlose Netzwerk erhält, kann er Passwörter stehlen oder Trojaner einschleusen.

Profi-Tipp: Diese Art von Angriffen wird in der Regel in Kombination mit anderen Methoden durchgeführt, um die Sicherheit von Systemen zu umgehen. Achten Sie darauf, bewährte Strategien für die Sicherheit von kabelgebundenen und drahtlosen Netzwerken einzuhalten.

Man-in-the-Middle-Methode – diese Art von Angriff ist durch das Abfangen einer Kommunikation zwischen zwei Systemen oder Personen durch eine nicht autorisierte Partei gekennzeichnet.

Beispiel: Im Jahr 2017 nahm das Kreditauswertungsunternehmen Equifax seine mobilen Apps aus Google Play und dem APP Store von Apple herunter, nachdem eine Sicherheitslücke aufgetreten war, die zum Verlust sensibler Daten der Nutzer führte. Beide Versionen der App nutzten nicht durchgängig HTTPS, was sie anfällig für Abhörmaßnahmen machte.

Pro-Tipp: Schauen Sie sich S2.E6 der Fernsehserie Mr. Robot an, um eine neue Sichtweise auf Karma-Angriffe zu erhalten.

Denial-of-Service-Angriff – tritt auf, wenn das System absichtlich mit redundanten Anfragen überlastet wird, um den ordnungsgemäßen Fluss der legitimen Nutzung zu erhalten.

Beispiel: Großer DDoS-Angriff auf Dyn DNS setzte Spotify, Twitter, Github und PayPal außer Gefecht, indem es die Websites mit einer überwältigenden Menge an Internetverkehr überflutete, im Oktober 2016. Es wurde nachgewiesen, dass die Mirai-Malware hinter dem Angriff steckte.

Betriebssysteme

Remote Code Execution – Systemschwachstellen können einem Angreifer die Möglichkeit geben, bösartigen Code auszuführen und sich Benutzerrechte anzueignen. Remote Code Execution ist eine der häufigsten Schwachstellen, die heute in Betriebssystemen gefunden werden, und öffnet Tür und Tor für weitere Angriffe.

Beispiel: Blueborne – eine Sicherheitslücke, die potenziell jedes Gerät auf der Welt mit Bluetooth (schätzungsweise mehr als 8 Milliarden) für einen RCE-Angriff öffnen könnte.

Privilegienerweiterung – gibt einem Angreifer die Möglichkeit, sich ohne ordnungsgemäße Autorisierung Fähigkeiten anzueignen (über die ursprünglich gewährten hinaus). In der Regel wird die Privilegienerweiterung in Kombination mit anderen Schwachstellen ausgenutzt, z. B. mit Remotecodeausführung.

Beispiel: Metasploit ist ein bekanntes Hacker-Framework. Es enthält Angriffe auf gerootete Android-Geräte, bei denen die Privilegien erweitert werden. Sobald das Gerät gerootet ist, wird eine ausführbare Datei erstellt, die als Superuser-Binärdatei (SU) bekannt ist und es dem Angreifer ermöglicht, Befehle mit Root-Zugriff auszuführen. Der Angreifer kann dann Befehle wie „show advanced“ und „show options“ als Root ausführen.

Information Disclosure – diese Art von Angriff erfolgt, wenn Softwarefehler ausgenutzt werden, um an persönliche Daten zu gelangen. Die erlangten Daten dienen oft als wichtiger Baustein für zukünftige Cyberangriffe.

Beispiel: Die Telefonnummern und persönlichen Daten von 533 Millionen Facebook-Nutzern wurden im April 2021 online veröffentlicht.

Was sind die verschiedenen Ansätze für Penetrationstests?

Jeder Pentester entscheidet sich für einen bestimmten Ansatz für Sicherheitstests, wobei er sich auf den Zeitplan, die Sicherheitsanforderungen und – was am wichtigsten ist – den Umfang der bereitgestellten Daten stützt. Lassen Sie uns das erklären: Die Ausnutzung der Schwachstellen eines Systems kann mit oder ohne Daten über das Zielsystem erfolgreich sein – ein Pentester kann z. B. wissen, wie ein Netzwerk abgebildet ist, oder die Aufdeckung dieser Informationen kann ebenso gut Teil der Aufgabe sein. Der Umfang der bereitgestellten Informationen bestimmt den Ansatz.

Im Folgenden werden die drei Ansätze für das Pentesting sowie die Vor- und Nachteile jedes Ansatzes beschrieben:

Warum sind Penetrationstests wichtig?

Was ist der Zweck von Penetrationstests?

Der Hauptgedanke hinter jedem Penetrationstest ist die Simulation eines Angriffs durch böswillige Außenstehende, um mögliche Angriffsszenarien und Systemschwachstellen zu ermitteln. Der Zweck von Penetrationstests besteht also darin, Schwachstellen aufzudecken und Schwachstellen des betreffenden Systems auszunutzen.

Cybersecurity-Tests liefern wertvolle Erkenntnisse über die Stärken und Schwächen der bestehenden Sicherheit. Es ist jedoch erwähnenswert, dass das primäre Ziel jedes Pentesting-Falles an einen bestimmten Geschäftsfall gebunden ist, so dass es viele Testvektoren gibt, die nicht unter eine einzige Verallgemeinerung fallen.

Kennen Sie die prognostizierte Häufigkeit von Ransomware-Angriffen auf Unternehmen bis Ende 2021? Alle 11 Sekunden wird es einen Versuch eines Sicherheitsverstoßes geben. Diese Zahl stieg von einer Schätzung von 1 pro alle 40 Sekunden im Jahr 2016 an. Schwachstellenbewertungen und konsequente Verbesserungen sind eine bewährte Maßnahme, um echte digitale Einbrüche zu verhindern.

Was sind die Risiken von Penetrationstests?

Die versteckten Kosten und Risiken der Suche nach Lücken in den Sicherheitssystemen, bevor die echten Hacker eindringen können, können ziemlich hoch sein. Die wesentlichen Risiken, die zu berücksichtigen sind, bevor man sich auf die Suche nach möglichen Wegen zum Eindringen in ein System begibt, werden im Folgenden kurz erläutert.

Unrealistische Bedingungen = zwecklose Ergebnisse: Der Sinn jeder Sicherheitsbewertung besteht darin, einen Realitätscheck durchzuführen und Prioritäten für künftige Verbesserungen zu setzen. Wenn das Pentesting in einer unrealistischen Umgebung durchgeführt wird, gibt es wenig Hoffnung auf aussagekräftige Ergebnisse. Simulierte Cyberangriffe können zu verzerrten Ergebnissen führen, die nicht die tatsächlichen Perspektiven potenzieller Hacker widerspiegeln. Dennoch gibt es viele Variablen, die berücksichtigt werden müssen, um brauchbare Ergebnisse zu erhalten, z. B. der Kenntnisstand des Pentesters, die von ihm verwendeten Tools und der von ihm verfolgte Pentesting-Ansatz.

Mehr Schaden als Nutzen. Sicherheitstests können zur unbeabsichtigten Preisgabe vertraulicher Informationen und zu Datenpannen führen, wenn sie nicht ordnungsgemäß durchgeführt werden. Fehler während der Tests können zum Absturz der Server führen und sensible Daten preisgeben. Ihr System muss mit den richtigen personellen und technischen Ressourcen gegen dieses Sicherheitsrisiko geschützt werden.

Verlorene Produktivität. Pen-Tests können und werden die Leistung eines Zielsystems beeinträchtigen. Die Tests müssen gut orchestriert werden, und das Pentesterteam muss mit den betroffenen Mitarbeitern in Kontakt bleiben.

Falsches Vertrauen. Übersehene Schwachstellen sind eine weitere potenzielle Bedrohung. Durchgeführte Sicherheitstests erwecken Vertrauen in die Systemsicherheit. Wie wir jedoch bei der Beschreibung der verschiedenen Testansätze erwähnt haben, birgt jeder das Risiko, Bedrohungen unterschiedlichen Schweregrads zu übersehen, von gering bis kritisch. Es gibt nie eine Garantie dafür, dass alle Schwachstellen innerhalb des Zeitrahmens des Tests entdeckt werden. Wichtig ist, dass man nicht davon ausgeht, dass man immun gegen eine Schwachstelle ist, nur weil sie nicht gefunden wurde.

Warum sind Penetrationstests wichtig?

Der Wert professioneller Cybersicherheitstests kann für jedes Unternehmen nicht unterschätzt werden, unabhängig von seiner Branche. Einem Team von Pentestern zu vertrauen, um die Schwachstellen eines Systems zu identifizieren, birgt Risiken, aber die Entscheidung für kompetente Experten hilft, diese zu minimieren und erhöht stattdessen den Nutzen. Die Pentester von QAwerk bieten die folgenden Remote-Penetrationsdienste an:

  • Aufspüren von Datenlecks
  • Prävention von Insider-Bedrohungen
  • Audit der Website-Sicherheit
  • Web-Penetrationstests
  • Statische Anwendungssicherheitstests (SAST)
  • Externe Netzwerksicherheitsprüfung
  • Computer-Forensik aus der Ferne

Jeden Tag entstehen neue Schwachstellen und Bedrohungen im Internet. Es werden neue Arten von Angriffen eingesetzt, die sich von den bestehenden stark unterscheiden können, und sogar einige alte Schwachstellen können mit der Zeit neu genutzt werden. Deshalb ist es für den reibungslosen und sicheren Betrieb Ihres Unternehmens von entscheidender Bedeutung, die Finger am Puls der Cybersicherheit zu haben, indem Sie regelmäßig ethische Hacks durchführen und nichts unversucht lassen, um Schwachstellen in den Sicherheitsprotokollen für Netzwerke, Systeme und webbasierte Anwendungen zu entdecken.

Letzte Worte

Die Zahl der neuen Cyber-Bedrohungen hat mit einer täglichen Zunahme von 50 bis 100 einen historischen Höchststand erreicht. Das Testen Ihrer Infrastruktur, Software und Ihres Netzwerks ist eine zuverlässige Sicherheitsmaßnahme, die für Unternehmen heute unabdingbar geworden ist. Denken Sie daran, dass 95 % der Verstöße gegen die Cybersicherheit auf menschliches Versagen zurückgehen. Schützen Sie sich, indem Sie Profis mit routinemäßigen Sicherheitstests beauftragen, die die Wahrscheinlichkeit von Cyberangriffen erheblich verringern. Unsere Kunden vermeiden Ausfallzeiten sowie Daten- und Geldverluste.

Created by
Valentyn Havryliuk
QA-Ingenieur bei QAwerk
linkedin
Valentyn Havryliuk ist ein hervorragender Experte für API- und Webanwendungstests, wobei er Tools wie Postman geschickt einsetzt, um die Zuverlässigkeit und Leistung von Software zu gewährleisten. Dank seiner umfangreichen Erfahrung verfügt er über ein fundiertes Wissen über Qualitätssicherung und kann so präzise und effektive Teststrategien entwickeln. More by Author