| Willkommen 38.107.191.100 | |
| Online | Gäste: 26
Mitglieder: 1, ihja
Auf dieser Seite: 4
Mitglieder: 3030, neuestes ist HandMad3 |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...SecuriTeam.com im Januar 2005 nach vielen Jahren erstmals das Design geändert hat und ich mich nun nicht mehr auf der Webseite zurechtfinde?
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 58) | "Computer werden von Menschen erbaut, programmiert, betreut und bedient. Sich von einem Computer abhängig zu machen ist wie, sich von einer Gruppe Menschen abhängig zu machen, die man nicht kennt." - Marc Ruef im Editorial des scip monthly Security Summary, 19. November 2003
Zeige alle Zitate (246 Total) |
| An diesem Tag... |  1993: Die erste LDAP-Spezifikation wird herausgegeben
2001: Todestag von Wau Holland
2005: Letzte Ausgabe des Phrack Magazins
Zeige alle Einträge (711 Total) |
| Buchtipp | 
The Art of Computer Programming
von Donald E. Knuth |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Das Pentesting Experten System (Montag, 26. Juli 2010 - 10:39:51) |
 [Marc's Blog] Seit meinem Eintritt in den Bereich der Netzwerksicherheit haben mich Vulnerability Scanner zur automatisierten Identifikation von Sicherheitslücken fasziniert. Erste Gehversuche mit einer eigenen Implementierung habe ich im Jahr 2000 mit dem Dante Projekt umgesetzt. Der auf modularen Shell-Skripten basierende Security Scanner sollte über eine Weboberfläche bedienbar und deshalb durch jedermann benutzbar sein.
Rund vier Jahre später habe ich mit einer konkreten Implementierung für das Attack Tool Kit (ATK) begonnen. Dieses sollte noch einen Schritt weitergehen und neben dem Identifizieren von Schwachstellen eben jene auch gleich Ausnutzbar machen. Dies geschah in jener Zeit, als das MetaSploit Framework (MSF) entwickelt und damit der Begriff des Exploiting Frameworks geprägt wurde.
Sowohl Dante als auch das ATK sollten mir bei meiner täglichen Arbeit als Penetration Tester helfen können. Sie sollten mich dabei unterstützen, Sicherheitsüberprüfungen automatisiert durchführen zu lassen. Dadurch sollte sich sowohl die Effizienz als auch die Qualität der Tests erhöhen lassen. Dies ist, natürlich unter Miteinbezug vergleichbarer Lösungen wie Nessus und Qualys, möglich gewesen. Doch nie habe ich mich so richtig wohl mit diesem Flickwerk aus Werkzeugen gefühlt.
Ein ursprünglich mit dem Arbeitstitel ATK.NET angefangenes Projekt sollte die Defizite bestehender Produkte, und dazu zählen selbstverständlich auch meine Ansätze, eliminiert werden. Diese Lösung sollte sowohl die Möglichkeiten eines umfangreichen Vulnerability Scanners, als auch eines intelligenten Fuzzing-Tools sowie eines Exploiting-Frameworks bieten. Eine Analyse sollte sich dabei in unterschiedlicher Genauigkeit (diese hat ebenso Auswirkungen auf die Dauer der Ausführung) als auch in unterschiedlichen und stufenlosen Graden an Automatisierung durchführen lassen (von nahezu manuellen Tests bis hin zu komplett automatisierten Scans).
Insgesamt 10 Jahre meiner Entwicklungszeit wurde in diese Lösung investiert. Davon über 8 Jahre zusammen mit meinen hervorragenden Arbeitskollegen bei scip AG. Durch eine hochgradig modulare Lösung sehen wir uns in der Lage, anhand eines Expertensystems unsere hochgesteckten Ziele zu erreichen. Wir vereinen dabei die Möglichkeiten der unterschiedlichen Lösungsansätze, ohne auf Flexibilität verzichten zu müssen.
Wir unterscheiden dabei zwischen verschiedenen Engines. Die Scan-Engine ist für das (semi-)automatisierte Zusammentragen der potentiellen und ausgemachten Schwachstellen verantwortlich. Dabei wird in einer ersten Phase versucht, den grundlegenden Aufbau eines überprüften Objekts (Netzwerk, System, Dienst, Applikation oder Daten) zu identifizieren. Anhand verschiedener Mechanismen wird versucht die eingesetzten Technologien und die angewandten Konfigurationseinstellungen auszumachen. Da es sich hierbei um dynamische Module handelt, lassen sich damit auch komplett unbekannte Lösungen und Eigenentwicklungen analysieren.
Die durch die Scan-Engine gesammelten und als XML-Dateien bereitgestellten Daten werden durch einen Parser bearbeitet. Im Pre-Parsing wird es möglich, anhand der ermittelten Mechanismen erste statistische Auswertungen vorzutragen. Da das Parsing besonders effizient umgesetzt wird, lässt sich dies in Echtzeit an den Scanning-Prozess knüpfen. Theoretisch kann der Kunde in jedem Augenblick eines Projekts über den aktuellen Stand informiert werden.
Das Pre-Parsing erlaubt jedoch ebenfalls eine erste Moderation der Resultate. Damit kann Einfluss auf den iterativen Prozess des Scannins, aber auch auf die Weiterverarbeitung der gesammelten Daten, ausgeübt werden. Zum Beispiel lassen sich On-The-Fly neue Tests generieren, bekannte False-Positives markieren (Flagging) oder weiterführende Validierungen anstreben.
Durch das effektive Parsing werden die Daten in eine Datenbank geschrieben. Dort lassen sich erste Planspiele anstreben. Durch statistische Auswertungen können Hochrechnungen für die anstehenden Tests getätigt werden. Oder es lassen sich Delta- sowie Trendanalysen, auf der Basis vorangegangener Sicherheitsüberprüfen des gleichen Kunden oder vergleichbarer Kunden, umsetzen.
Werden die Daten in der Datenbank abgelegt, kann eine feste Moderation umgesetzt werden. Dabei erlaubt das System eine durch unterschiedliche Analysten in unabhängiger Weise umgesetzte Moderation. Es können also verschiedene Leute die Einträge kontrollieren, beglaubigen und validieren. Dies müssen nicht zwingend die gleichen Personen sein, die die initialen Scans durchgeführt haben. Damit lässt sich ebenso ein Vieraugenprinzip anwenden, indem potentielle Schwachstellen nur dann als gegeben akzeptiert werden, wenn mindestens zwei Auditoren ihr "Accepted" abgegeben haben.
Die Datenbank fungiert sodann als Expertensystem. Dieses weist die Analysten darauf hin, wie hoch die Chancen für False-Positives (und False-Negatives) sind, wie sich diese erkennen und eliminieren lassen. Durch Schritt-für-Schritt Anleitungen bzw. dynamisch generierte Scan-scripte können sodann weiterführende Tests oder Validierungen durchgeführt werden. Der Tester muss sodann nich zwingend im Detail mit der Zielumgebung und den eingesetzten Technologien vertraut sein, da er sich auf den gesammelten Erfahrungsschatz unseres Unternehmens bzw. der anderen Analysten verlassen kann.
Dieser Prozess des Prüfen, Validieren, Parsen, Moderieren und Dokumentieren kann iterativ und beliebig oft wiederholt werden. Zu jedem Zeitpunkt sind sämtliche Daten vorhanden und können auf Knopfdruck ausgegeben werden (Report, Statistiken, Trends). In der Regel wird ein Ablauf der Form Scan-Moderation-Scan-Moderation-Dokumentation angestrebt. Dadurch kann gewährleistet werden, dass Schwachstellen, die bei den ersten Tests nicht identifiziert werden konnten (da sämtliche Angriffsflächen so noch nicht bewusst waren) doch noch identifiziert werden können.
In der Datenbank werden umfangreiche Informationen zu den jeweiligen Schwachstellen abgelegt. Neben einer Charakterisierung des Problems findet sich ebenfalls mindestens eine Schritt-für-Schritt Anleitung zur Ausnutzung des Problems und verschiedene Gegenmassnahmen (priorisiert nach ihrer Effektivität). Ebenso wird eine umfangreiche Attributisierung durchgesetzt. So werden Phase eines Angriffs (z.B. Auswertung), Angreifertyp (z.B. Skript-Kiddie), Schwachstellenklasse (z.B. Cross Site scripting), betroffenes Objekt (z.B. Webapplikation) und Parent-Bug (die für die Existenz dieser Schwachstelle erforderliche Voraussetzung) festgehalten. Zusätzlich sind Referenzen auf andere Scanner (inklusive Deren Beschreibungen, Einstufungen und Testverfahren), Verwundbarkeitsdatenbanken, Webseiten und Bücher in dieser Wissensdatenbank festgehalten.
Werden sämtliche Daten in der Datenbank eingetragen und moderiert, kann ein Report generiert werden. Durch die umfangreiche Report-Engine wird es möglich, verschiedene Ausgabeformen und Dateiformate zu unterstützen. Dies reicht von klassischen Word-/PDF-Reports mit allen Details über Excel-Dokumente mit den wichtigsten Gegenmassnahmen (Checklisten) bis hin zu XML-Dateien zur automatisierten Weiterverarbeitung (z.B. in einem Bugtracking-System).
Das grundlegende Ziel des Reportings ist dabei, keine der gesammelten und vorhandenen Informationen zu verlieren. In einem Report sind also stets alle Daten enthalten, die von Nutzen sind. Zu jeder gefundenen Schwachstelle werden projektbezogene Informationen, wie die IP-Adresse des Scan-Systems und der Zeitpunkt der Identifikation, bereitgestellt. Damit kann ein Höchstmass an Transparenz und Nachvollziehbarkeit gewährleistet werden. Ganze Tests lassen sich also auch nach Abschluss bis auf die Sekunde genau rekonstruieren.
|
| Anatomie (m)eines Blogs (Montag, 12. Juli 2010 - 07:11:55) |
[Marc's Blog] Obwohl ich mich als sehr neugierigen Menschen bezeichne, pflege ich relativ langsam in der Adaption neuer Technologien zu sein. Dies hängt weniger mit dem fehlenden Verständnis für Möglichkeiten zusammen. Viel mehr stehe ich neuen Mechanismen naturbedingt kritisch gegenueber, denn viele von ihnen können ihre Nützlichkeit erst mit einer gewissen technologischen Reife (z.B. Full-HD) bzw. einer sozialen Etablierung (z.B. Twitter) entfalten.
So kommt es dann auch, dass ich relativ spät den Weg zu Blogs (zu Beginn noch Weblogs genannt) gefunden habe. Erst im Jahr 2005 habe ich mit der Einführung der dynamischen Webseite angefangen - der Wechsel folgte von HTML zu PHP - regelmässig Blog-Beiträge zu verfassen.
Meine Zurückhaltung lag darin begründet, dass ich mir nur ungern wiederkehrende Arbeit aufhalsen wollte. Ich wusste nämlich, dass ein Blog nur dann bestehen kann, wenn es regelmässig neue Beiträge bereitzustellen in der Lage ist. Sodann gibt es nichts Schlimmeres als ein verwaistes Blog. Denn dieses hinterlässt bei den Besuchern einen unangenehmen Nachgeschmack, den man nur schwerlich wieder ändern kann. Blogger.com ist leider voll davon.
Ich musste mir also zuerst bewusst werden, in welchen Zyklen ich das Blog aktualisieren wollte und konnte. In der ersten Euphorie schiessen viele Schreiberline innert kürzester Zeit eine Vielzahl an Artikeln heraus. Viele sehr spannend, sehr aktuell. Doch irgendwann lässt die Luft nach, man hat keine Zeit und keine Lust mehr, die hohe Frequenz aufrecht zu erhalten. Meist nach 2-3 Wochen setzt dann schnell ein Umkehreffekt ein und viele Blogs laufen sich quasi abrupt tot.
In einer produktiven Phase, in der man den Drang nach Schreiben verspürt, sollte man die Grösse besitzen, eine Publikation auch mal zurückzuhalten. Denn sehr schnell und unvorhergesehen kann eine Schreibunlust oder gar eine Schreibblockade einsetzen. Dann ist man sehr froh, kann man einige konservierte Beiträge aus der Schublade ziehen und muss sich nicht durch neue Zeilen quälen. Nicht selten habe ich 20-30 Beiträge (sowohl Fachartikel als auch Blog-Posts) auf Vorrat. Diese sind "zeitlos", behandeln also ein sehr generisches Thema. Vor einer Veröffentlichung gehe ich sie sodann nur noch kurz durch, um sie mit Verweisen auf aktuelle Forschungen und Geschehnisse zu bereichern. Und kämpft man wirklich mit einem unausweichlichen Engpass, kann man immer noch den Aktualisierungszyklus des eigenen Blogs ausdehnen (z.B. von einer zu zwei Wochen).
Bei mir hat es sich nach einigen Wochen eingependelt, dass ich wöchentlich neue Beiträge online stelle. Dazu habe ich einen festen Tag, im Fall von computec.ch ist dies der Montag, festgelegt. Es scheiden sich die Geister, welcher Wochentag der Beste ist, um eine Publikation herauszugeben. Der Wochenanfang wird als Begrüssung der Leser aus dem Wochenende verstanden, die Wochenmitte als breit abgestützte Präsentationsplattform und der Freitag als Abschied in die freien Tage. Bei den verschiedenen Publikationen, die ich herausgegeben habe, konnte ich auf Wochentage bezogen keine nennenswerten Vor- und Nachteile ausmachen. (Jedoch sind in den Sommermonaten - vor allem Juli/August - tendenziell weniger Leser zugegen.)
Mit der Frequenz eines Blogs wird auch dessen Aktualität und damit indirekt auch der Inhalt vorgegeben. Werden Beiträge regelmässig im Wochenrhythmus herausgegeben, kann man nur schwerlich tagesaktuelle Geschehnisse kommentieren. Und so habe ich mich bewusst dagegen entschieden, auf computec.ch die unmittelbaren Neuerungen aus dem Umfeld der IT-Security zu behandeln (quasi im Stil von Slashdot). Ungern bin ich an fremde Themen gebunden, fühle mich daduch in meiner eigenen Entfaltung eingeschränkt und einem zu strikten Diktat unterworfen.
Stattdessen bin ich darauf bedacht, halt einfach in regelmässigen Abständen über Dinge zu schreiben, die mich interessieren, faszinieren und bewegen. In erster Linie sind es Erfahrungen aus meinem Berufsalltag, die ich gerne mit anderen teilen möchte. Nicht selten kommen Rückmeldungen, die mich in meinem Verständnis für eine Situation bereichern und damit meinen gegenwärtigen bzw. zukünftigen Handlungsspielraum erweitern können. Durch das Teilen meiner Sicht der Dinge erlange ich also die Möglichkeit, die Geschehnisse aus einer anderen Perspektive zu sehen. Ebenso hat das Niederschreiben des Erlebten den wohlbekannten Effekt der Katharsis, wie man es vom klassischen Tagebuch her kennt.
Meine Beiträge sind sodann meistens so aufgebaut, dass ich in einem ersten Absatz eine sehr persönliche Anekdote vortrage, die oftmals auf den ersten Blick nicht viel mit dem Thema IT-Security zu tun hat. Vielleicht eine Szene aus einem Familientreffen, von einem Konzert oder von einem Gespräch mit Freunden. Daraus leite ich dann eine Eigenschaft ab, die sich auf die Informations- bzw. Computersicherheit übertragen lässt. Und zum Schluss versuche ich meistens mit einem Augenzwinkern den Bogen zu schlagen, und wieder auf die Verknüpfung des besprochenen Problems mit dem Alltäglichen hinzuweisen.
Das Anfangen eines eigenen Blogs ist also nichts Schwieriges. Man muss sich nur bewusst sein, was, für wen und wie man schreiben möchte. Ich schreibe über alltägliche Beobachtungen im Bereich der IT-Security, in erster Linie für Berufskollegen und interessierte Laien sowie in einer möglichst unterhaltsamen Weise. Das Lesen anderer Blogs kann dabei helfen, einen eigenen Stil zu finden. Ich selbst lese eine Vielzahl an deutsch- und englischsprachigen Blogs zum Thema und kann nur empfehlen, dort mal einen Blick reinzuwerfen:
* Alles zum Thema Technik und IT-Security
* Von mir empfohlene Blog-Posts
|
| Infiltration eines Netzwerks (Montag, 28. Juni 2010 - 09:49:30) |
[Marc's Blog] Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser möglichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine überproportional hohe Anzahl an Fachpublikationen beschäftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Auch im Rahmen von professionellen Sicherheitsüberprüfungen wird anhand dieser in erster Linie die Machbarkeit eines Angriffs bewiesen und anhand dem Erfolg dieser die Durchführbarkeit der restlichen zwei Phasen abgeleitet.
Nur in den wenigsten Fällen werden die Hürden, wie sie mit einer Rechteausweitung und einem Backdooring verbunden sind, berücksichtigt. Doch die meisten Angreifer attackieren Systeme heutzutage nicht mehr nur aus Spass, sondern sie wollen einen Nutzen aus ihren Aktivitäten davontragen. Der Nutzen erschliesst sich aber erst dann, wenn Zugriffe auf Daten und Systemressourcen durchgesetzt werden können. Die Möglichkeiten der Phasen 4 und 5 sind entsprechend massgeblich dafür verantwortlich, welches Ausmass an Erfolg der gesamte Angriffsversuch mit sich zu bringen in der Lage ist.
Gehen wir davon aus, dass jemand in ein Netzwerk einbrechen möchte, um aus diesem Daten zu stehlen. Das Zielunternehmen bietet ein WLAN an, das durch bekannte Angriffstechniken innert weniger Stunden kompromittiert werden kann. Das System des Angreifers wird nach erfolgreicher Anmeldung im WLAN zu einem Teil des bestehenden Netzwerks.
Als erstes wird der Angreifer versuchen herauszufinden, wie das Netzwerk konfiguriert ist. Anhand der DHCP-Einstellungen, die automatisch an sein System propagiert wurden, kann er erste Ableitungen zu IP-Adressierung durchführen. Handelt es sich um ein Klasse C- oder ein Klasse A-Netzwerk, können Rückschlüsse auf die Grösse des Unternehmens und die potentiellen Angriffsziele (im gleichen Netzwerksegment) gemacht werden.
Wird dem eigenen System die IP-Adresse 192.168.2.51 zugeordnet, so kann in einem nächsten Schritt versucht werden herauszufinden, ob die inkrementelle Vergabe der IP-Adressen durch den DHCP-Server den gesamten Adressraum von 1-50 aufbraucht und ob ebenfalls Adressen im Bereich >51 vergeben sind. Die Anzahl aktiver Systeme kann so ermittelt werden. Je nach Tageszeit lässt sich damit erkennen, wieviele Mitarbeiter in etwa zugegen sind (manche von ihnen werden hoffentlich unter Berücksichtigung von Green-IT ihr System über Nacht/Wochenende ausschalten).
Doch um die Belegbarkeit des Adressraums zu ermitteln, muss zuerst die Topologie des Netzwerks verstanden werden. Ebenfalls in den mit DHCP auferlegten Konfigurationseinstellungen kann das Default Gateway, die DNS-Server sowie der DHCP-Server erkannt werden. Das Gateway ist üblicherweise die niederwertigste IP-Adresse im Adressbereich (in diesem Fall 192.168.2.1). Der DHCP-Server nimmt für sich ebenfalls die gleiche IP-Adresse in Anspruch. Die Nameserver findet sich jedoch im Netzwerk 172.16.0.x. Es ist sodann anzunehmen, dass die Server-Systeme in eben dieser DMZ positioniert werden.
Durch das Einsehen der lokalen ARP-Tabelle können die Ethernet-Adressen der schon angesprochenen Systeme ausgemacht werden. Die ersten drei hexadezimalen Werte lassen den Hersteller (Vendor) der Netzwerkkarte ermitteln. Schnell und vor allem passiv (keine weiteren Zugriffe für die Auswertung nötig) lässt sich damit ausmachen, dass das Gateway mit grösster Wahrscheinlichkeit durch ein Cisco-Gerät bereitgestellt wird. Die Namensauflösung lässt eine Cisco PIX/ASA vermuten (wiederum eine indirekte Auswertung). Dadurch kann die zur Filterung eingesetzte Technologie abgeleitet und potentiell verdächtige Aktivitäten zurückgehalten werden.
Anhand der weiterführenden Namensauflösungen der Systeme im gleichen Netzwerksegment lässt sich eine ISS RealSecure-Installation ausmachen. Hierbei handelt es sich um ein kommerzielles Intrusion Detection-System (IDS). Da die ersten langsamen Portscans der Client-Systeme typische Standard-Installationen von Windows XP erkennen liess, wird ebenfalls eine Standard-Installation von RealSecure erwartet. Mit der Durchsicht dieser in einer eigenen Test-Installation kann erkannt werden, welche Aktivitäten voraussichtlich Alarm auslösen werden. Das eigene Verhalten kann damit massgeblich optimiert werden, um unentdeckt weiter vorzugehen.
Da die gegebenen Windows-Systeme kein aktuelles Patch-Level aufweisen, kann mit einem mehr oder weniger bekannten Exploit eine Kompromittierung eines solchen angestrebt werden. Die Auswertung der Konfigurationseinstellungen (die erste Kompromittierung hat lediglich die Rechte des eingeloggten Benutzers vererben lassen), lässt File-Server und versteckte Shares erkennen. Auf diese können nun zugegriffen werden, wobei nach wertvollen Daten sowie technischen Hinweisen zur Umgebung Ausschau gehalten wird.
Die Durchsicht des File-Servers lässt im Ordner \IT-Department\Networking\Diagrams Visio-Dokumente identifizieren, die die Architektur und Topologie des gesamten Firmennetzwerks dokumentieren. Auf einen Blick werden so sämtliche Netzwerkzonen, Übergänge (Router/Firewalls), Server und Systeme erkennbar. Dank dieser "Landkarte" kann man sich nun sehr effizient im Netzwerk bewegen und kann deshalb auf eine Vielzahl an langwierigen Auswertungen (z.B. Erkennen der existenten/erreichbaren Systeme mittels Ping-Suchlauf) verzichten.
Nun kann entweder versucht werden durch ein lokales Exploiting die Rechte auf dem kompromittierten Arbeitsplatzrechner zu erweitern. Dies ist wohl nicht weiter erforderlich, da mit administrativen Rechten nur marginal erweiterte Zugriffe mit zusätzlichem Nutzen angegangen werden können. Eine Rechteausweitung ist eigentlich nur dann angestrebt, wenn die zusätzlichen Privilegien für die gewünschten Zugriffe erforderlich sind (z.B. Zugriff auf Systemkomponenten, Missbrauch einer bestehenden Vertrauensbeziehung im Netzwerk).
Oder man fokussiert sich auf die elementaren und damit wertvollsten Systeme der Zielumgebung. Vor allem Routing-, Security- und zentrale Server-Systeme sind von Interesse. Da diese ein Mehr an Funktionen bereitstellen und Kommunikationen bearbeiten, kann eine Übernahme dieser ein Mehr an Möglichkeiten gewähren (z.B. könnte ein manipulierter Proxy sämtlichen Verkehr auf das eigene System umleiten und durch eine klassische Man-in-the-Middle Attacke den Datenstrom mitlesen lassen). Der weitere Angriff dieser Systeme ist nun jedoch wieder als neu gestartete Iteration der fünf Phasen zu verstehen. Nach dem Angriff ist vor dem Angriff.
|
|
