Blackbox-Tests als falsche Entscheidung Marc Ruef | 02.11.2009 Es ist wohl kein anderer Bereich so getrieben von urbanen Legenden, wie der Bereich der Computersicherheit. Ein jeder, der früher oder später über dieses Thema stolpert, fühlt sich irgendwodurch zu den mysteriöschen Geschichten von verwegenen Hacks und Verschwörungstheorien hingezogen. Ein Umstand, der in positiver Hinsicht dazu beträgt, dass sich immerwieder Leute für das Thema begeistern können. Zum Problem wird diese Betrachtung dann, wenn man sich durch die Coolness der Geschichten in die Irre (http://www.computec.ch/news.php?item.86) führen lässt. Dann, wenn man auf Biegen und Brechen will, dass bei einer professionellen Sicherheitsüberprüfung der vermeintliche "Codex des Underground" eingehalten werden will: Penetration Tester sind Hacker und Hacker sind Nerds, die sich ausschliesslich von Bytes und Pizza ernähren. Die Folge davon ist, dass gerne sogenannte Blackbox-Tests erzwungen werden. Bei diesen erhält der Penetration Tester sehr wenige bis gar keine Informationen zu einem Zielobjekt. Bei einem netzwerkbasierten Test vielleicht höchstens die IP-Adresse des Zielsystems. Manchmal noch nicht mal dass, sondern lediglich den Zielbereich, der dem Kunden zugeordnet werden kann. In den meisten Fällen ist diese Grundlage sowohl technisch als auch wirtschaftlich hochgradig ineffizient, ja sogar schon fast dumm. Eine Sicherheitsüberprüfung erfordert immer Zeit. Je weniger Wissen ein Angreifer hat, desto mehr Zeit muss er aufwenden, um seine Ziele zu erreichen. Im Gegenzug braucht ein Angreifer mit einem Mehr an Wissen tendenziell eher weniger Zeit. Ein professioneller Penetration Tester ist in der Regel überdurchschnittlich gut darin bewandert, eine Sicherheitsüberprüfung durchzuführen. Er simuliert damit einen sehr effizienten Angreifer. Indem nun bei einem Test dem Experten banale Informationen wie IP-Adressen vorenthalten werden, muss er sich zuerst mit diesen auseinandersetzen. Er "verschwendet" so seine kostbare Zeit bzw. sein spezialisiertes Wissen (dies ist in diesem Fall meistens gleichzusetzen). Anstatt dass der Analyst versuchen kann, sofort die Einschränkungen eines komplexen Pufferüberlaufs auszuhebeln, muss er zuerst bzw. stattdessen auf die Resultate seines repetitiven Ping-Suchlaufs warten. Das ist fast ein bisschen so, wie wenn man wegen Beschwerden zu einem Arzt geht, ihm jedoch nicht sagt, wo es einem weh tut. Selbstverständlich kann der Arzt durch eine geschickte Befragung (Social Engineering) oder umfangreiche Tests (Vulnerability Scans) die zurückgehaltenen Informationen selber einholen und verifizieren. Doch das Praktizieren, das Determinieren von Ursachen und das Beheben dieser, wird erst sehr viel später möglich. Die Epikrise gestaltet sich damit hochgradig ineffizient. Bei professionellen Sicherheitsüberprüfungen wird in der Regel ein klarer Zeitrahmen abgesteckt, den der Kunde zu bezahlen bereit ist. Ist das Testing für 10 Tage angesetzt (von denen mindestens ein Tag Reporting sein wird), dann wäre es schade, wenn der Penetration Tester 5 Tage mit Ping-Suchläufen verschwenden muss. Es blieben ihm lediglich 4 weitere Tage, sein Expertenwissen auszuspielen. Im Fall einer medizinischen Untersuchung kann eine solche Zeitspanne Leben von Tod trennen. Bei einer Sicherheitsüberprüfung können verlorene Tage bedeuten, dass man kritische Probleme nicht ausfindig machen kann. Dies ist dann nicht (nur) der Fehler des Penetration Testers. Viel mehr ist es die Fehlbarkeit der Testbedingungen. Aus eben diesem Grund ist der Einsatz eines Whitebox-Test zu empfehlen. Bei einem solchen werden dem Penetration Tester alle möglichen Informationen zugänglich gemacht. Es bleibt sodann ihm überlassen, zu sondieren und sich auf die essentiell wichtigen Details zu fokussieren. Dadurch kann die Performance der Untersuchung massgeblich verbessert werden. Stehen Daten zur Verfügung, für die man bei einem Blackbox-Test oder einem echten Angriff 10 Tage gebraucht hätte, um sie zusammenzutragen, kann man theoretisch auch in einem 3 Tages-Test einen 10 Tage andauernden Angriff simulieren. Und darum sollte es bei einer Sicherheitsüberprüfung gehen, und nicht darum, ob man nun die Bedingungen von Password Swordfish (http://www.imdb.com/title/tt0244244/) nachahmen kann.