Wer sucht, der findet Marc Ruef | 05.01.2006 Als Penetration Tester habe ich eigentlich nur ein Ziel: In ein System einbrechen, koste es, was es wolle (natürlich nur im Rahmen des Legalen und Wirtschaftlichen). Durch automatisierte Auditing mittels Vulnerability Scannern und das manuelle Exploiting in akribischer Handarbeit sollen dabei sämtliche existenten und für einen Angreifer verwertbaren Schwachstellen einer Umgebung aufgedeckt und erfolgreich ausgenutzt werden. Dies ist nicht immer ein Kinderspiel, sind die gegenwärtigen Bestrebungen doch sehr umfassend - Ein elektronischer Einbruch in eine Bank erfordert da doch ein hohes Mass an Know How, Ehrgeiz und Zeit. Ein Auftrag gilt in der Regel, wenigstens auf technischer Ebene, als abgeschlossen, wenn eine offensichtliche Rechteausweitung innerhalb des Projekts umgesetzt werden konnte. Den grossen Jackpot hat man quasi, wenn man sich irgendwo als Administrator wiederfindet oder eine Reihe sensitiver Unterlagen entwenden kann. Offene Ports alleine, vermeintlich veraltete Software-Versionen und lediglich eventuell ausnutzbare Schwachstellen geraten dabei ins Hintertreffen, denn sie sind offensichtlich nicht von direktem Wert für mich als Angreifer. Eine wichtige Frage innerhalb solcher Aufgaben ist, ob man als Penetration Tester sich darüber freuen soll, wenn man keine Angriffsfläche vorfindet. Quasi dann, wenn die Umgebung ein annehmbares Mass an Sicherheit aufzuweisen hat, so dass man selbst als Spezialist in der zur Verfügung stehenden Zeit keine nennenswerten Erfolge verbuchen kann. Jeder, der derartigen Arbeiten schon einmal nachgegangen ist weiss, dass man sich dann schnell ziemlich blöd vorkommt. Man denkt dann immer, dass man wohl etwas übersehen haben müsse - Oder dass man gar wirklich nicht gut genug sei, um das Ziel zu erreichen. Denkt man dabei an den Report, in dem man Schwarz auf Weiss eben solche Limitierungen eingestehen muss, wird einem schnell ganz anders. Eine Möglichkeit, wie man das eigentlich zu Unrecht auftauchende schlechte Gewissen besänftigen kann, ist in der Hochstufung der gefundenen Schwachstellen gegeben. Aus einem "harmlosen" NetBIOS-Zugriff, der eigentlich im Normalfall lediglich die Einstufung "Medium" bekommt, wird dann plötzlich ein halbwegs nachvollziehbares "High". Kunden, die sich einen hohen Stand der Tests und Resultate sowie des Reportings gewohnt sind, werden sich aber ab einer derartigen Anpassung der Bewertungen wundern. So läuft man entsprechend dabei Gefahr, dass man sich selbst unglaubwürdig macht und damit die eigenen Resultate in jeglicher Hinsicht entwertet. Eine andere Herangehensweise, wie "sichere" Umgebungen gerecht abgehandelt werden können, ist in einem umfassenden technischen Report gegeben. In diesem werden sämtliche Details der Überprüfungen akribisch genau festgehalten. So kann jeder technisch versierte Leser sehen, dass eine Vielzahl an tiefgründigen Tests umgesetzt wurden. Und dass bei diesen keine Erfolge gefeiert werden konnten, ist nicht automatisch eine Erniedrigung des Tests ansich. Viele Penetration Tester übersehen in der Tat, dass der Report mitunter das wichtigste Element eines Auftrags darstellt. Mit den technischen Überprüfungen an Bildschirm und Tastatur ist es nämlich nicht getan. Das, was der Kunde am Schluss erhält, ist der Report. Dieses Papier bewahrt er auf und darauf wird er sich in Zukunft beziehen - Es ist also eine etwas umfassendere Visitenkarte. Ist der Report mangelhaft umgesetzt und mit Fehlern gespickt, kann man einen wirklich schlechten Eindruck hinterlassen, den man nur mehr schlecht wieder korrigieren kann. Denn auch ich werde diese Tage einen Report für einen langjährigen Kunden fertigstellen. Voriges Jahr haben ihm die Überprüfungen eine Bewertung von "gut" eingebracht. Voller Vorfreude wartet er darauf, dass ich die Sicherheit des Perimeters als "sehr gut" ausweisen werde. Eine Bewertung, die ich wirklich selten ausstellen, jedoch zunehmends vergeben kann, da die jeweiligen Administratoren ihr Verständnis für die Problematiken zunehmends verbessert haben. Diplomatisches Fingerspitzengefühl im Umgang mit Kunden und Reports wird also zunehmends wichtiger.