10 Dinge, die man bei einem Audit falsch machen kann Marc Ruef | 11.06.2007 iDies ist eine rein fiktive Geschichte. Hätte ich sie in vollem Umfang erfahren, wie in dem hier beschriebenen, hätte ich wohl schon längst meinen erwarteten Herzinfarkt oder eine Einweisung ins "Burghölzli" (Psychiatrische Universitätsklinik Zürich) akzeptieren müssen. Diese Erzählung dient also primär der allgemeinen Belustigung und soll in keinster Weise in Zusammenhang mit der Qualität der von mir gelieferten Arbeiten stehen./i Es ist Montag morgen und ich hab mal wieder verschlafen. Dies wäre nicht weiter schlimm, doch leider hätte ich um 09:00 Uhr im Büro sein müssen und ein externes Vulnerability Scanning für einen wichtigen Kunden beginnen sollen. Rund eine halbe Stunde zu spät treffe ich ein. Hektisch starte ich die beiden Rechner auf, die für die entsprechenden Audit-Prozeduren herhalten sollen. Eines davon ist ein Microsoft Windows XP, auf dem verschiedene VMware-Instanzen betrieben werden. Ein anderes ist ein reines Linux-System. Während Windows XP aufstartet und ich meine Kalendereinträge im Outlook verifizieren will, popt eine Meldung des Autoupdate-Dienstes von Windows auf. Per Zufall habe ich just in diesem Moment die Leertaste gedrückt und damit ungewollt die Installation der neuesten Patches initiiert. Da ich nach diesem Prozess das Betriebssystem sowieso neu starten muss, kann ich also die VMwares noch nicht hochfahren. Ich verliere nocheinmal 10 Minuten. In der Zwischenzeit übertrage ich die Ziel-IP-Adressen auf das Linux-System, damit ich wenigstens dort gleich mit dem Scanning beginnen kann. Mittlerweile ist 09:45 Uhr und alle VMwares sind oben. Sofort starte ich das Scanning. Plötzlich klingelt mein Telefon. Ich murmle "nicht jetzt" und hebe den Hörer ab. Sodann fragt mich eine düstere Stimme: "Sind Sie am Scannen?" Es ist der Kunde. Ich antworte mit einem simplen "ja". Ziemlich ungehalten sagt er mir, dass ich mich vor dem Scan nicht wie abgemacht angemeldet hätte. Die Jungs vom Incident Response Team seien ziemlich aufgeschreckt worden und hätten aufgrund der vielen Angriffsversuche einige Systeme heruntergefahren und die Firewall-Regelsätze kurzfristig verändert. Ich entschuldigte mich für das Vergessen der Anmeldung und bat darum, wieder den Betriebszustand herstellen und die zuständigen Stellen zu informieren. Der Kunde meinte, dass dies etwa eine bis zwei Stunden dauern würde. Er klang nicht gerade fröhlich. Zwischenzeitlich las ich ein bisschen in den jeweiligen Foren von heise.de. Es ist schon lustig, was sich da für wirre Gestalten tummeln. Manche scheinen sich ein Hobby daraus zu machen, sich möglichst dümmlich zu benehmen. Endlich klingelt das Telefon. Um 11:00 Uhr teilt mir der Kunde mit, dass ich nun den offiziellen Scan starten kann. Da ich im Verzug bin, führe ich gewisse Tools zeitgleich aus. Auf einigen Systemen wird also sowohl eine dedizierte Instanz von nmap gestartet als auch ein Durchlauf mit Nessus getätigt. Um 11:15 Uhr klingelt wieder das Telefon. Der Kunde beklagt sich, dass der Border-Router abgestürzt sei. Es war mir sehr peinlich, denn zeitgleich bemerkte ich, dass es sich um ein älteres 3com-Modell handelte. Erfahrungsgemäss sind diese unter gewissen Belastungen sehr instabil. Der Kunde sagte, dass ich sofort sämtliche Zugriffe abbrechen solle. Da es eigentlich ausgemacht war, weder destruktive (Denial of Service) noch intrusive Tests (Exploiting) durchzuführen, konnte ich seinen Ärger verstehen. Dass ich aber mit einem simplen Portscan das gesamte Netzwerk zum Erliegen bringen würde, konnte ich aber nicht wissen. Nachdem sich der Kunde geweigert hatte, mit mir weiter zu diskutieren, verlangte er meinen Vorgesetzten. Ich hörte, wie ihn mein Chef mit bestem diplomatischem Geschick zu besänftigen versuchte. Man einigte sich schliesslich darauf, dass das Testing am Nachmittag weitergeführt werden sollte. Um 13:30 Uhr meldete ich mich also artig per Telefon an und begann zaghaft die weiteren Tests durchzuführen. Zu meinem Erstaunen funktionierte alles prächtig. Um 17:00 Uhr war der finale Nessus-Durchlauf abgeschlossen, so dass ich mich sofort telefonisch beim Kunden abmeldete. Er war wohl genauso froh wie ich, dass es endlich vorbei war. Als ich den Hörer zurück in die Gabel legte und auf meinem Scanning-Laptop den Nessus-Report abspeichern wollte, blieb der Bildschirm jedoch schwarz. Ich dachte zuerst, dass sich da ein Termin von Outlook aufgehängt hätte. Doch dann bemerkte ich, dass der Laptop ja gar nicht am Strom angeschlossen sondern die letzten Stunden mit Batterie betrieben war. Dies schien mittlerweile leer zu sein. Ich befürchtete, dass die gesamten Scan-Resultate nun verloren waren. Ein Aufstarten des Geräts bestätigte dies. Meine ganze Arbeit, wenigstens ein Grossteil davon, war hin. Zum Glück war dies das erste Projekt, dass wir für diesen Kunden durchgeführt hatten. Entsprechend war er sich noch keiner Qualitätsstandards gewohnt. Da er nicht wusste, was er am Schluss erhalten würde, wollte ich die wichtigsten Punkte aus den bestehenden Reports (zum Glück hatte ich wenigstens die nmap-Scans) rekonstruieren. Da sollte sich schon was ansehnliches basteln lassen... Den nächsten Arbeitstag war ich dann auch damit beschäftigt, den Report fertigzustellen. Dies funktionierte soweit gut, obschon ich nur einen kleinen Teil der von Nessus eingebrachten Informationen - diejenigen, an die ich mich noch erinnern konnte - mitverarbeiten konnte. Termingerecht schickte ich dem Kunden die finale Version des Reports zu. Doch leider zu spät hatte ich gemerkt, dass ich vergessen hatte, das PDF-Dokument vorher mit PGP zu verschlüsseln. Das sensitive Papier wurde also im Klartext übers Internet gejagd. Oh je! Ein paar Tage später klingelte das Telefon bei meinem Chef. Ich wusste zuerst nicht, wer dran war. Als ich jedoch hörte, dass es um einen unverschlüsselt verschickten Report ging, blieb mir fast das Herz stehen. Es muss sich um meinen Fauxpas handeln! Mein Chef guckte zu mir rüber und meinte, dass der Kunde noch mit mir sprechen wolle. Ich nickte wortlos und wartete darauf, bis er verbunden wurde. Ganz ruhig fragte mich der Kunde: "Sie haben die Adressen 64 bis 128 gescannt. Uns gehören jedoch die Adressen 32 bis 96. Wo sind die fehlenden Resulate?" Mir war schlecht.