Unter einem Penetrationstest versteht der Sicherheitsfachmann in der Informationstechnik die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. “Hacker”) anwenden würde, um unautorisiert in das System einzudringen (Penetration). Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Quelle: de.wikipedia.org

“Wesentlicher Teil eines Penetrationtests sind Werkzeuge…”
Ich denke das der wesentliche Teil eines Pentests, wie man ihn auch nennt, eher darin besteht ein Gefühl für den Prüfling zu bekommen. Man benutzt zwar auch Programme für die Standardtests, die Ergebnisse der Anfragen müssen aber interpretiert werden, da gibt es nicht nur ein SICHER oder ein UNSICHER und – was ich für ganz wichtig halte, man muß abseits der Standards testen – denn ein BlackHat-Hacker hält sich nicht an Standards.

Eine Software, auch eine für mehrere Tausend Euro, kann zwar nach “zahlreichen bekannten Angriffsmethoden” suchen, aber sie wird niemals so gut sein wie ein Mensch mit Erfahrung. Solche Software kann nur für einen Schnelltest herangezogen werden. Nach der Interpretation der Ergebnisse ist meist eine Nacharbeit von Hand, trotz des “sicher” von der Software, unerlässlich. BlackHat-Hacker kennen die Schwächen solcher Software, ein Pentester muß diese natürlich auch kennen und eben nach den Lücken suchen die die Software nicht kennt.

Bemerkt man eklatante Fehler im HTML- oder JavaScript-Code einer WebSite, die zwar zum Teil “nur” Syntaxfehler sind, so lassen diese Rückschlüsse auf die Fähigkeiten des/der Programmieren zu. Wer schon einfachste Sicherheitsregeln missachtet der wird kaum an die Dinge denken die sich ein echter BlackHat-Hacker ausdenkt.

Wenn man bei Google nach “Pentest” sucht, so werden einem natürlich auch AdWords von IT-Firmen angezeigt, die eben auch diese Sicherheitstests anbieten. Ich bin ja frech und habe mir diese Firmen-WebSites mal genauer angeschaut… und natürlich auch diverse Lücken gefunden. :O)

Bei meinem Penntest <g> fand ich verschiedenste Lücken wo bei der Konfiguration des Servers gepennt wurde oder die Entwickler des CMS im Tiefschlaf gewesen sein müssen – ich sage nur: XSS, CSRF, SQL Injection & Co. Wenn ich solche Dienstleister sehe dann kann ich nur annehmen das sie die Standardsoftware benutzen und selber nicht ihren Verstand einschalten, so nach dem Motto “Die Software hat keine Lücken gefunden, also sind wir Sicher.” Wenn sie diese Art von Tests ihren Kunden verkaufen, kann man nur hoffen das der Kunde nichts wichtiges auf seinem WebServer speichert.

Ab Januar 2009 werden, zu den bisherigen Daten für Fest- und Mobilnetzverbindungen, die Internetverbindungen gespeichert. Es werden von jedem Surfer die IP-Adresse, Anschlusskennung (DSL-Kennung bzw. Rufnummer) und der Beginn und das Ende der Internetnutzung gespeichert, aber (angeblich) nicht welche Seiten besucht wurden. Zusätzlich wird auch noch gespeichert wer wem eine E-Mail schreibt, auch hier (angeblich) ohne den Inhalt zu speichern. All diese Daten werden (angeblich nur) für sechs Monate gespeichert und sollen der Abwehr von terroristischen Aktionen dienen…

Und wie verpflichtet man den Terroristen dazu keine Anonymisierungsdienste in Anspruch zu nehmen?

---

Sehr geehrte Frau Terroristin,
Sehr geehrter Herr Terrorist,

wir bitten Sie gaaanz lieb darum das sie bitte bitte nie nich versuchen Ihre Spuren im Internet zu verwischen. Also benutzen Sie bitte bitte keine Proxys, kein Tor und nutzen Sie auch bitte bitte nicht JonDonym. Wenn Sie gar nicht wissen wie man anonym Surft oder anonyme E-Mails verschickt, dann hilft uns dies sehr und Sie brauchen sich keine weiteren Gedanken machen.

Vielen Dank für Ihr Verständnis.

Mit freundlichen Grüßen

DIE & SIE

PS: Sorry, aber wir wissen sonst nicht wie wir der Bevölkerung unseren Überwachungswahn verkaufen können.

---

Echte Terroristen wissen natürlich ganz genau welche Spuren sie wo hinterlassen würden, also benutzen sie entsprechende Verschleierungs- und Verschlüsselungstechniken, um dies zu verhindern.

Wer soll da überwacht werden? Angebliche Terroristen oder doch eher die Bevölkerung?


Wenn u.a. wirklich nur die IP-Adresse des Surfers gespeichert wird und nicht die Adresse der WebSite die besucht wurde und auch nicht der Datenverkehr mit der WebSite – was kann man mit den IP-Daten anfangen?


Beispiel 1:
Der Herr T. Error ist irgendwo aufgefallen und wurde verhaftet. LKA / BKA / BND / etc. schauen nun ob man ihm irgendwie etwas ans Zeug flicken kann:

• “OK, Herr DSL-Provider rück mal alle Verbindungsdaten von dem Typ raus.”
• Nun haben SIE eine Liste mit mindestens 182 IP-Adressen – denn nur Firmen und große Organisationen benutzen eine Standleitung mit fester IP. Der Otto-Normal-Surfer und auch der Herr T. Error bekommt von seinem Provider jeden Tag eine neue IP-Adresse zugewiesen.
• Womit sollen diese IP-Adressen nun verglichen werden?
• …

Ende der Ermittlung!


Beispiel 2:
Diese Ärmelschoner haben eine WebSite ausfindig gemacht, die versucht willige, dumme, religiös verbrämte Selbstmörder anzuwerben:

• Der Hoster der WebSite wird gezwungen die Logfiles rauszurücken, in denen die IP-Adressen der Besucher gespeichert sind.
• Nun müssen diese Ärmelschoner die IP-Adressen aller Surfer in Deutschland mit den in den Logfiles vergleichen, um jemanden zu finden der diese WebSite besucht hat. (Wobei der reine Besuch solch einer WebSite kaum eine Straftat sein kann.)
• …

Also, eine verdachtsunabhängige Ermittlung gegen alle Surfer in Deutschland?!

Aber da gab es ja noch den Richtervorbehalt, der die Bürger vor dem Überwachungswahn schützen soll… “Polizeianruf zur Weihnachtszeit” (spion-media.eu)


Ich bin ja schon sehr gespannt, auf die ersten Erfolgsmeldungen. “Nur dank der Vorratsdatenspeicherung konnten wir bla bla bla…” Vor der Bundestagswahl wäre ein guter Zeitpunkt für solche Meldungen, vor allem wenn es für die Frau Merkel nicht so gut bei der Sonntagsfrage aussieht.