Bereiten Sie sich vor - Oder testen Sie schon?
Marc Ruef | 22.09.2008

Während meiner Tätigkeit als Penetration Tester und Reverse Engineer habe ich schon so manchen arroganten Spruch gehört. Diese reichen von "Das hätte ich auch gekonnt" bist zu "Ein richtiger Hacker braucht keine Tools". Zum Glück bin ich relativ langsam im Denken und so bleibt mir in solchen Situationen stets genügend Zeit, um einmal leer zu schlucken und mir eine lustige Szene aus Family Guy vorzustellen (Ich mag die Folge, in der Stewie mit aller Gewalt das Geld von Brian eintreiben will!). Wäre dem nicht so, würde ich wahrscheinlich meine Hände zu Fäusten ballen und mein Gegenüber wie ein Berserker in rasender Wut zu Brei schlagen. Oder so ähnlich.

Auch wenn Netzwerksicherheit heute scheinbar ein Volksthema ist, gibt es nur wenige, die sich auf diesem Gebiet richtig bewegen können. Die wenigsten wissen zum Beispiel, wie man eine technische Sicherheitsüberprüfung durchführt. Entweder wird angenommen, dass man hierzu sehr teure Scanning-Software benötigt, die durch richtig geheime Geheimdienste entwickelt wurde. Oder man nimmt an, dass dies nur durch einen schlacksigen Bartträger, der ausschliesslich mit Assembler durch den Computer kommuniziert, ausgeführt werden kann. Beides ist falsch.

Eine Sicherheitsüberprüfung (Vulnerability Assessment) hat in den meisten Fällen vor allem eins zu sein: Wirtschaftlich. Möglichst schnell sollen alle möglichen Angriffsflächen als solche identifiziert werden, um mit möglichst wenig finanziellem Aufwand eben diese angehen zu können. Verschrobene Assembler-Entwickler sind hierzu genauso hinderlich wie überteuerte Scanning-Lösungen israelischer Firmen.

Auf unseren sogenannten Scanning-Laptops findet sich eine Hand voll Vmware-Maschinen, die wir für die jeweiligen Tests heranziehen. Auf diesen sind die entsprechenden Applikationen, vorzugsweise aus dem Open-Source Bereich, bereitgestellt. Durch das Zusammenspiel dieses Frameworks soll es möglich werden, sowohl wirtschaftlich als auch wissenschaftlich die einem aufgetragene Arbeit anzugehen.

Dies setzt natürlich voraus, dass die besagten Geräte in der zu prüfenden Umgebung auch eingesetzt werden können. Voraussetzung dazu ist als erstes die Zustimmung des Unternehmens, dass ein "fremdes" Gerät überhaupt angestöpselt werden darf. Und gleich im nächsten Atemzug wird von uns erwartet, dass einer oder gar zwei RJ45-Anschlüsse gegeben sind. Diese sollten nicht durch zusätzliche Port-Security oder Firewall-Mechanismen eingeschränkt werden, um eine reibungslose Kommunikation mit dem Zielobjekt gewährleisten zu können.

In der Offerte, an der persönlichen Kickoff-Sitzung und in einem separaten Vorbereitungs-Mail werden die Kunden auf diese Anforderungen hingewiesen. Schliesslich soll es so sein, dass man beim Eintreffen beim Kunden sofort mit der Arbeit loslegen kann und sich nicht um bürokratische und technische Limitierungen zu scheren hat. Dies natürlich alles im Sinne der Wirtschaftlichkeit, die durch den Kunden in jeglicher Hinsicht gewünscht wird (es darf ja nichts kosten).

Umso mühsamer ist es dann, wenn der Kunde sich seiner Pflichten nicht bewusst ist. Also dann, wenn man pünktlich um 09:00 Uhr vor Ort eintrifft und auf die Frage "Wo kann ich meinen Laptop einstecken?" die verdutzte Antwort "Sie brauchen einen Laptop für die Tests?!" erhält. Dann geht der Spiessrutenlauf los: Die Legal-Abteilung will keine "virenverseuchten" Geräte externer Mitarbeiter im internen Netz sehen (wie wenn ich Viren auf meinen hermetisch abgeriegelten Vmwares hätte!), es sind keine RJ45-Anschlüsse oder Büroräume mehr frei, der Netzwerkadministrator, der als einziger die Topologie des ach so komplexen Netzes kennt, ist gerade im Urlaub oder das zu prüfende Objekt muss gerade notfallmässig durch das Engineering-Team komplett umgebaut werden und sie müssen deshalb mit spontanen Ausfällen während der Analyse rechnen. Yippie.

Zum Glück bin ich stetig von Müdigkeit umgeben und meine Berserker-Haltung deshalb lediglich in unsichtbar introvertierter Weise vorhanden. Früher pflegte ich immer zu sagen: "Ich bin unglaublich aggressiv jedoch viel zu müde, um es zu zeigen." Dann sitz ich meistens ab und lass mal die anderen rennen. In solchen Situationen lass ich mich definitiv nicht stressen. Ich war pünktlich da und wenn der Kunde nicht bereit ist, dann kann er mir ja zugucken, wie ich diesen Blog-Beitrag hier schreibe. Ach, mir wird gerade gesagt, dass der Test-Account eingerichtet ist und ich loslegen kann. Danke für die Aufmerksamkeit, ich muss weg...