Ethical Hacking

Gezielter Auftragshackerangriff aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker».

Ethical Hacking ist die extremste Form der technischen Sicherheitsüberprüfung. Unsere Security Consultants versuchen gemäss präzise formuliertem Auftrag auf elektronischem Weg in das Zielsystem (Komponenten in der DMZ oder im LAN/WAN) einzudringen. Im Gegensatz zum Security Scan, Penetration Test und Application Security Audit wird beim Ethical Hacking nur solange nach Sicherheitslücken gesucht, bis eine gefunden wird, welche es dem Tester erlaubt, das vordefinierte Ziel zu erreichen. Somit werden nicht zwingend alle Sicherheitslücken gesucht und dokumentiert. Ethical Hacking hat zum Ziel Design-basierte Sicherheitslücken wie beispielsweise suboptimale Trusts zwischen Systemen oder Mängel im Zonenkonzept aufzudecken und sie auszunutzen.

Ausserdem wird ein wesentlicher Bestandteil des Sicherheitskonzepts, nämlich die Reaktion des internen Security Teams/Equipments geprüft. Somit setzt Ethical Hacking bei jenen Bereichen an, welche bei einem typischen Penetration Test nicht getestet werden.

Beim Ethical Hacking kommen je nach Projektziel verschiedene Ansätze zum Zug. Da das Design von Systemen und nicht die verwendete Software im Fokus liegt, sollte der Umfang des Untersuchungsobjekts ziemlich grosszügig bemessen werden.

Ethical Hacking Ansätze

• Shoot all: Der «Shoot all»-Ansatz wird verfolgt, um das Sicherheitsrisiko und die Folgen zu ermitteln, falls ein zum Untersuchungsobjekt gehörendes System kompromittiert wird. Dabei werden mittels Exploiting Design-bedingte Sicherheitslücken ermittelt, indem alle zur Verfügung stehenden Ressourcen des kompromittierten Systems ausgenutzt werden. Dies kann mittels Post-Exploitation-Techniken wie beispielsweise der Installation von Back Doors oder der Nutzung von Tools, welche User-/Administratoren-Zugriffsinformationen auslesen, erfolgen. Ausserdem wird der Netzwerkverkehr analysiert, um aus dem Datenstrom Zugangsinformationen zu extrahieren. Die erlangten Informationen werden anschliessend verwendet, um von einem System im Netzwerk auf ein anderes - bis zu diesem Zeitpunkt noch als sicher geltendes System - zu springen. Beispiele möglicher Techniken sind: Hijacking Windows NT Access Tokens, Kerberos Credentials Hijacking, Verwendung von SSH Private Keys, UNIX TTY Hijacking etc.
• Capture the flag: Der «Capture the flag»-Ansatz dient dazu, die Wahrscheinlichkeit einer erfolgreichen Kompromittierung eines zum Untersuchungsobjekt gehörenden Systems zu ermitteln. Obwohl das Ziel üblicherweise darin besteht, eine spezifische und kritische Komponente zu testen, eignet sich dieser Ansatz auch hervorragend, um die Reaktion des internen Security Teams im Falle einer Attacke auf die Probe zu stellen. Da die Anzahl der Systeme, die sich im Untersuchungsobjekt befinden, normalerweise niedrig ist, hält sich die Wahrscheinlichkeit, dass die Testaktivitäten getriggert werden, in Grenzen. Vor Projektstart wird eine Flagge (z.B. Daten, E-Mail, System) definiert, welche es innerhalb eines vorgegebenen Zeitfensters zu ergattern gilt. Die dabei zum Einsatz kommenden Techniken ähneln denen, welche beim «Shoot all»-Ansatz angewandt werden. Zudem werden oftmals Bots eingesetzt. Der «Capture the flag»-Ansatz kommt nahe an eine echte Hackerattacke heran.

Informationsgrad

Der Kunde definiert den Informationsgrad beider Parteien (Tester und Administratoren/Anwender der zu testenden Systeme):

• Double Blind: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme und die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Dies ist der realistischste Ansatz.
• Blind: Die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Ziel ist es, die Reaktion des Security Teams des Kunden zu testen.
• Black Box: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist es, Sicherheitslücken aufzuspüren und auszunutzen.
• Grey Box: Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die effiziente Projektdurchführung, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird.
• White Box: Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die Simulation einer Attacke mit Insiderwissen.

Je nach Auftrag werden vor den eigentlichen Angriffen die gleichen Informationskanäle genutzt, die auch Hacker nutzen (z. B. Social Engineering, Dumpster Diving, Foot- und Fingerprinting). Der Grossteil der Arbeit ist Kopfarbeit, d.h. es können nur begrenzt Tools eingesetzt werden. Der Funktionsumfang des Basismoduls Ethical Hacking kann mit diversen optionalen Ergänzungsmodulen individuell erweitert werden.

Da die Qualität und die Aussagekraft eines Ethical Hacking-Tests direkt von den Rahmenbedingungen abhängen, wird vor Projektstart vereinbart, was das Projektziel und die Methoden sind und wie viel Zeit für den Test aufgewendet werden soll. Am Ende des Projekts werden das Vorgehen, die erzielten Ergebnisse und empfohlene Gegenmassnahmen zur Schliessung aufgedeckter Sicherheitslücken umfassend dokumentiert (als Option OSSTMM-konform).

System Hardening

Selbstverständlich unterstützen wir unsere Kunden auf Wunsch auch kompetent bei der Systemhärtung (z.B. mittels Security Patches, Konfigurationsänderungen oder Kernel-Modifikationen).

Security Audit Kompetenz

Unsere Mitarbeiter haben für unsere Kunden seit 2003 mehr als 450 technische Security Audits nach OSSTMM durchgeführt. Die OneConsult GmbH ist ISECOM Licensed Auditor (Platinum Level), ISECOM Partner (akkreditierter Schulungsanbieter) und das - an der Anzahl OSSTMM-konformer Security Audits gemessen - führende Unternehmen in Europa.