Security Audit - Penetrationstest (Diplomarbeit)

#16 Moin zusammen...

mal ein paar grundsätzliche Anmerkungen, die dir vielleicht helfen, deine Arbeit so zu strukturieren, dass deine
Firma wirklich einen Nutzen erkennt und deine Arbeit nach Abschluss nicht in der Schublade verschwindet:

Wer sich ein bischen in der IT-Beratung auskennt weiß, dass das Grundschutzhandbuch 'ne tolle Sache ist, sich
die wenigsten Unternehmen aber intensiv damit auseinandersetzen. Letztlich ist es auch "nur" 'ne Art Richtlinie,
die auf dem schönen Grundsatz der Verhältnismäßigkeit aufsetzt.
"Verhältnismäßigkeit" wird leider oft als Kosten-Nutzen-Verhältnis missver standen, wobei in letzter Konsequenz
viele wichtige Dinge an den Kosten scheitern. Erschwerend kommt dazu, dass über die Budgets Leute entscheiden
(Geschäftführung, Vorstände...), die von der Materie keine Ahnung haben.

So, wie ich deinen Ansatz bis hierhin verstanden habe, ist dieser sehr prakmatisch/technisch orientiert. Das
Ergebnis der Arbeit wird wahrscheinlich mit großem Interesse aufgenommen werden, einschließlich der
Empfehlungen die du abgeben möchtest... das war's dann aber auch. Es fehlt der konkrete unternehmerische
Bezug/Nutzen. Wenn ich als Geschäftsführer die Arbeit lesen bzw. die Präsentation hören würde, bliebe bei mir
die Frage: Was bringt es meinem Business, wenn ich deinen Empfehlungen folge - außer, dass sie Geld kostet.
Warum sollte nicht alles so weiterlaufen wie bisher - ist doch alles prima?! Und weil ich's von meinem
Sys-Admin mal gehört habe: Never change a runing system...

Unter dem Stichwort Business Continuity bietet sich dir ein Ansatz, der nicht nur die technische Seite der
IT analysiert sondern auch die Geschäftsprozesse, die von einer funktionierenden IT abhängen. Wichtig an
dieser Stelle: Business Continuity in seiner Gesamtheit beinhaltet nur zu einem kleinen Teil den Bereich IT. Eine
komplette Betrachtung würde den Themenrahmen deiner Arbeit absolut sprengen. Selbst der Bereich IT ist so
komplex, dass du ihn nicht endgültig abhandeln kannst.

Nun aber zum Punkt bzw. meine Empfehlung:

Step1
Analysiere zunächst grob die geschäftlichen Prozesse eurer Firma. Um weiter arbeiten zu können, nimm dir den
Prozess, der im Wesentlichen für den Erfolg der Firma verantwortlich zeichnet bzw. existentiell wichtig ist.

Step2 - hier bist du ja schon fleißig dabei
Analysiere die technische/personelle Infrastruktur der IT mit besonderen Blick auf die Bereiche, die für das
Funktionieren des in Step1 identifizierten Main-Prozesses wichtig sind.

Step3
Zeige die Schwachstellen im System. Entwickle anhand einer schweren Schwachstelle ein worst-case-szenario,
dass einen Totalausfall der IT-Segmente zur Folge hat, die für das Funktionieren des Main-Prozesses
entscheidend sind - mit dem Ergebnis, dass auch dieser ausfällt – einschließlich der vermuteten Verluste, die
damit verbunden sind (Hinweis: nur ein geringer Teil der Unternehmen, die einem worst-case-szenario
unvorbereitet zum Opfer gefallen sind überleben die kommenden 5 Jahre)

Step4
Gib mit Bezug auf das beschriebene Szenario deine Empfehlungen ab.


Aus meiner Sicht wichtig: Wahrscheinlich wirst du viele Schwachstellen finden... konzentriere dich auf die
wesentlichen, ggf. auch nur auf eine.

Ich weiß nicht, ob ich mit meinem Ansatz für deine Arbeit richtig liege, aber er bietet dir die Möglichkeit, dein
eigentliches Thema in einem gesamtunternehmerischen Kontext darzustellen. Die Aufmerksamkeit von
Controling und Geschätsführung wirst du auf jeden Fall haben und damit auch eine vage Hoffnung, dass deine
Arbeit etwas bewirkt. Damit die Arbeit nicht am Thema vorbei geht liegt die Gewichtung trotz allem auf Step2.

Nicht grad 'ne technische Hilfe... aber vielleicht bringts dich ja noch auf ein paar andere Gedanken...

Grüße, dicon

Fast vergessen: Wenn du bei deinen technischen Tests auf kein wirklich relevantes Problem stößt, versuche
nicht, irgendetwas theoretisches herbeizuzaubern. Es gibt genügend andere Punkte außer Viren, Hacker,
ungepatchter Server und schlecht administrierter Netzwerke, die zu einem Totalverlust/ -ausfall führen
können.
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#17 Danke für deinen Hinweis !
Finde ich Super die Idee und wenn ich ehrlich bin habe ich auch schon darüber nachgedacht sowas wie ein Schadenszenario zu erstellen und aufzuzeigen was im schlimmsten fall für ein Schaden entstehen kann... ich denke dann werden hier einige Leute echt hellhörig...
__________
....::::einmal LINUX, immer LINUX::::....

#18 Das wäre wirklich ein schöner Ansatz. Was man evtl. auch hervorheben sollte ist das der größte Schaden fast immer von innen kommt. Die Statistiken zeigen klar das nicht externe Hacker sondern wütende Kollegen schuld sind. So schnell am letzen Tag vor der Kündigung nochmal rumwüten oder auch Mitarbeiter die aus Langeweile mal gucken wie das Netz so aufgebaut ist und was man findet.

Diese Mitarbeiter sind zwar meist nicht so 'begabt' wie ein externer Angreifer aber erschreckender Weise sind Firmennetze gegen Angriffe von innen oft komplett ungeschützt. Keine getrennten Netzbereiche oder Firewalls etc.

Das mit dem OS Fingerprint ist vom Prinzip ziemlich einfach. Das ganze basiert auf der Tatsache das jedes OS anders auf Ausnahmen oder nicht definierte Pakete reagiert und auch sonst Pakete anders aufbaut. Das fängt an mit der normalen Paketgröße die bei einigen Systemen 1492 bei anderne 1500 ist... Weiter geht es mit Bits im Paket die bisher undefiniert sind. Einige Systeme setzen die dann auf 0 andere auf 1. Dann z.B. die Paket ID nummerierung. Ist die Zufällig oder inkrementell. Ich such bei gelegenheit mal einen schönen Bericht darüber raus der auf der Insecure Seite liegt.

#19 Ok, danke... ;-)

Weiß denn noch jemand was über Angriffe bzw. checks wie ich diese Ports "penetrieren" kann ?

22 ssh
23 telnet
25 smtp
135 msrpc
139 netbios-ssn
445 microsoft-ds
6000 X11

Bei telnet könnte ich z.B. thc hydra laufen lassen um den Login zu knacken.
Da der Port 135 offen ist, könnte ich "rpcinfo -e Rechnername" aufrufen um herauszubekommen welche RPC Dienste laufen, da ja viele davon sehr anfällig sind....
139 war doch auch samba oder ? naja.... jedenfalls könnte ich da ja versuchen irgendwie an die Freigaben zu gelangen... ;-)
Und noch zu dem X11 Dienst... da könnte ich doch bestimmt versuchen irgendwie ne Remote-X Session hinzubekommen, oder ?
Also schreibt mal was ihr so darüber denkt... kann ja auch sein das ich total falsch liege... ;-)
__________
....::::einmal LINUX, immer LINUX::::....

#20 Hi! Wirklich interessantes Thema! (fleißig mitles)


Vielleicht kannst du ja sowas noch für deine weitere Planung gebrauchen:
http://www.ges-training.de/Expertentips/DPM/!DPM.html
__________
Seit anbeginn von windows fing die Menschheit an zu verblöden:
Windows 95 was unable to detect your Keyboard, press F1 or F2 to abort.

#21 Moin l4e...

vielleicht hab ich nicht richtig aufgepasst, aber wie bist du auf die "offenen" Ports gekommen? Interner
Scann… oder extern? Scheinbar handelt es sich ja um irgendeine Art Server. Welche Rolle spielt dieser
im LAN, wie ist er eingebunden?

Versuch doch mal das „Bedrohungspotential“ objektiv einzuschätzen. Hinter jedem „offenen“ Port einen
Angriffspunkt für Hacker zu suchen ist imo nur die halbe Wahrheit und irgendwelche Tests die… sagen
wir mal… nicht ganz optimale Herangehensweise im Sinne deiner Hausarbeit.

Es wurde ja schon mehrfach gesagt: Die Bedrohung durch Hacker spielt in Abhängigkeit von der Art des
Unternehmens eine eher untergeordnete Rolle – da lauern ganz andere Gefahren…. Aber wenn du möchtest,
bleiben wir ruhig bei den Hackern:

Zunächst: denke wie ein Hacker (ich meine wie ein richtiger – Scriptkiddies scheiden aus), oder versuch es.

Was tust du zuerst: du brauchst einen Grund, für den es sich lohnt in eure Firma einzubrechen.
Analysiere also zunächst, welche begründeten Interessen ein Hacker haben könnte, bei euch einzubrechen.
Datenklau: was kann er damit anfangen? Daten zerstören: wem nützt es? Infrastruktur platt machen: wer hat
ein Interesse daran? Denk dir alle möglichen Sachen aus, bewerte sie auf einer Punkteskala von 1 bis 10 und
stufe sie entsprechend ein. Sollte keine der Gründe einen Wert über 5 erreichen, belass es in deiner Arbeit
dabei – ihr seid kein lohnendes Angriffsziel.

Geh’n wir davon aus, du hast als Hacker etwas gefunden, was dich so brennend interessiert, Zeit auf einen
Angriff zu verschwenden… Was brauchst du? Möglichst viele Informationen über dein Ziel – und das nicht nur
auf die IT bezogen.
Analysiere hier die Wege, auf denen sich ein Angreifer Informationen über euch besorgen kann: Personal,
On- und Offline-Medien… einfach alle Wege auf denen man Informationen bekommen kann. Dazu zählen
natürlich auch technische Scanns à la nmap & Co. – die allerdings auch wieder ein Grundwissen über Struktur
und Komponentenerreichbarkeit des Zieles voraussetzen… als kleinste Größe vielleicht die IP(s) irgendwo
muss man schließlich anfangen und scannt nicht wild in der Gegend rum.
Auch hier wieder die Einstufung der möglichen Information die generierbar sind auf der Punkteskala.

Wenn du mit den beiden Punkten durch bist, hast du ein ziemlich gutes Bild über das Gefährdungspotential, dem
eure Firma unterliegt – ganz ganz wichtig: objektiv und realistisch bleiben: kein externer verfügt über das
Insiderwissen, das du hast und wird es vermutlich auch niemals bekommen. Fehlbeurteilungen auf Basis des
eigenen Wissens sind vorprogrammiert – darum noch mal: zieh keine Probleme an den Haaren herbei –
theoretische Gefahren bringen deine Firma nicht weiter.

Weiter mit unserem Hack:
Wir haben ein Ziel und wir haben die Informationen, die uns unserem Ziel näher bringen, aber immer noch nicht
den Zeitpunkt erreicht, die Werkzeugkiste auszupacken. Als Hacker brauche ich eine Strategie – schließlich
möchte ich möglichst unerkannt rein und wieder raus.
Ausgehend von den allen Punkten die dich zur Gesamteinstufung „Hohe Gefährdung“ gebracht haben,
analysiere verschiedene Strategien, die der Angreifer nutzen könnte, um ans Ziel zu gelangen – manchmal
tut es auch ein simpler Einbruch. Bleiben wir bei der IT sind DoS-, DDoS-, MotM Attacken, also Angriffe auf
Schwachstellen, die du über mögliche Penetrationstests erkennen kannst nur eine von vielen Ansätzen. Das
gezielte Ausnutzen von Exploids oder das einschleusen kleiner Hintertüren via Mail scheinen mir zunächst
einfacher. Über einen Server direkt ans Ziel zu gelangen wäre für mich nur Plan B oder C – meist sind die
am besten gesichert und verlangen mehr Mühe…


Das ganze war jetzt mal ein Denkansatz für `nen Hack… aber noch mal: es gibt wichtigeres.

Das mag jetzt (ungewollt oder weil ich’s nicht besser kann) nach Schulmeister klingen, aber dein Ansatz
versprüht etwas den Eindruck von Scriptkiddie-Mentalität – Hammer auspacken und draufhauen… Auch wenn’s
dir mehr Spaß bringt als trockene Analyse… als Entscheidungsgrundlage für IT-Investitionen wäre mir das
eindeutig zu dünn.

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#22 ...hast ja recht... ;-)

Ich muss ja wie gesagt sowieso noch sowas wie Schadenszenarien mit möglichen Auswirkungen auf den produktiv-betrieb und damit zusammenhängende Verluste aufzeigen.
Da muss ich aber noch dran arbeiten...

Das dieser Penetrationstest bzw. die "scriptkiddie-arbeit" nicht ausreicht um die GF zu beeindrucken ist mir klar. Aber es ist nunmal ein Teil von meiner arbeit und deshalb brauche ich da auch ein paar Infos zu... ...und bin euch auch sehr dankbar, das ihr mir soweit geholfen habt...

Hab auch gerade wieder einen Server gefunden der überaupt nicht abgesichert ist.... echt krass... sogar das Administrator-Konto hat kein Passwort !!!... und ich kann ohne probleme auf Standard wie z.B. C$ zugreifen.... wobei ich das erstmal unter windows geschafft habe... nur leider kann ich von Linux auf Windows nicht auf die Standard zugreifen.... :-(

Naja... ich werd mal ein bisschen weier rumprobieren...
__________
....::::einmal LINUX, immer LINUX::::....