Audit nach Forensik - Die Nadel im Heuhaufen Marc Ruef | 18.02.2013 Wirklich Hektisch wird unser Alltag eigentlich erst dann, wenn eine forensische Analyse (http://www.scip.ch/?dienstleistungen.forensics) ansteht. Dann, wenn in Systeme eingebrochen wurde und schnellstmöglich Ursachen und Auswirkungen bestimmt werden sollen. Gerade wenn komplexe Live-Systeme betroffen sind und man nicht mal eben eine neue "saubere" Umgebung hochfahren kann, wird das Ganze eine Gratwanderung zwischen der Durchführung der Analyse und dem Aufrechterhalten des Betriebs. In manchen Fällen reagiert der Kunde unmittelbar, sperrt die Eindringlinge aus und kontaktiert uns erst dann bezüglich einer forensischen Untersuchung. Das Problem hierbei ist, dass durch das Aussperren der Angreifer oftmals weitreichende Anpassungen an der Umgebung erforderlich wurden und deshalb kein verlässliches Nachbilden des ursprünglichen Angriffsszenarios mehr möglich bleibt. Da geschieht es dann gerne, dass Kunden statt einer forensischen Analyse eine Sicherheitsüberprüfung (http://www.scip.ch/?dienstleistungen.auditing) wollen. Sie erwarten, dass wir die gleichen Schwachstellen finden und ausnutzen, wie es ursprünglich die Eindringlinge getan haben. In der Theorie funktioniert das sicher wunderbar. Die Praxis sieht da ein bisschen anders aus. Sicherheitsüberprüfungen sind stets an ein Budget und mit ihm an einen zeitlichen Rahmen gebunden. Wenn der Kunde nun 5 Manntage für den Penetration Test zahlen will, dann werden wir auch 5x8 Stunden investieren. Doch werden wir den Eintrittspunkt finden, der ursprünglich durch den Angreifer ausgenutzt wurde? Vielleicht musste er mehrere Wochen suchen. Ein Audit nach einer Forensik ist also stets das Suchen der Nadel im Heuhaufen. Doch wirklich problematisch wird dieser Ansatz vor allem deswegen, weil man nie genau weiss, wieviele Nadeln im Heuhaufen versteckt sind. Vielleicht haben wir einen möglichen Angriffsvektor gefunden - Doch was ist nun, wenn der Angreifer einen gänzlich anderen Weg für sich erschlossen hatte? Man weiss nie, wann der Test vollumfänglich zu Ende gebracht und eine Aussage abschliessend getätigt werden kann. Aus diesem Grund raten wir stets davon ab, das Pferd von Hinten aufzuzäumen. Eine richtig strukturierte forensische Analys vermag die besseren, verlässlicheren und effizienteren Resultate zusammentragen zu lassen. Ein Penetration Test ist zu komplex und zu unstrukturiert, alsdass er für das Erreichen eines deterministischen Zustands (http://www.computec.ch/projekte/tractatus/?s=tractatus&m=liste&h=2.1.2.4.4&l=6) genutzt werden könnte.