Michael Messner, Integralis AG und David Wollmann, EDAG

Michael Messner

Der Backtrack Day ist eine sehr junge IT Security-Veranstaltung, die dieses Jahr zum zweiten Mal in Deutschland durchgeführt wird. Sie versucht einmal im Jahr die deutschsprachige IT Security bzw. Pentesting-Szene zusammen zu bringen, wodurch ein besserer und einfacherer Informationsaustausch ermöglicht werden soll.

Warum nehmen Sie am Backtrack-Day teil? Warum unterstützt Integralis diese Veranstaltung?

Michael Messner: Da das Kernteam rund um diese Veranstaltung das Linuxsystem Backtrack als primäres Betriebssystem für die durchgeführten Sicherheitsanalysen einsetzt, sahen wir hier eine Möglichkeit, IT Security-Spezialisten ebenso anzusprechen, wie typische Backtrack User und Interessierte der Pentesting-Thematik.

Die Veranstaltung wird ausschließlich durch freiwillige Mitarbeit aus der IT Security-Szene und durch unsere Sponsoren, der EDAG und der Integralis getragen. Mit den eingenommenen Geldern werden im ersten Schritt die Fixkosten der Veranstaltung gedeckt, alle weiteren Einkünfte werden direkt an Hackers for Charity gespendet.

Bei Hackers for Charity handelt es sich um eine Organisation rund um den international bekannten Hacker Johnny Long, der das Potenzial der internationalen Hackerszene nutzt, um wohltätige Projekte in Uganda umzusetzen. Zu diesen Projekten zählen neben speziellen IT-Trainings auch humanitäre Projekte wie beispielsweise “Food for work” oder das “Recreation Center”. Für weitere Informationen zu Hackers for Charity möchte ich auf die Webseite http://www.hackersforcharity.org verweisen.

Mit den dargestellten Punkten ist prinzipiell auch die Frage beantwortet, warum sich die Integralis an dieser Veranstaltung beteiligt. Für uns als IT-Sicherheitsunternehmen nimmt natürlich der Informationsaustausch der deutschsprachigen Szene einen hohen Stellenwert ein. Lässt sich dieser Austausch in Form einer solchen Veranstaltung noch für einen guten Zweck nutzen, ist dies aus unserer Sicht noch unterstützenswerter. Weitere Informationen zum Backtrack Day sind im Internet unter http://back-track.de/ zu finden.

Was hat sich verändert im Pentest-Bereich? Gibt es Trends?

David Wollmann: Neben den nahezu täglich erkannten Schwachstellen und der Diskussion wie Sicherheitsforscher damit umgehen sollen (Stichwort Full Disclosure vs. Responsible Disclosure) geht der Trend sehr stark in Richtung Client- und Mobilesecurity, wodurch der Benutzer dieser Systeme dementsprechend stärker in den Fokus der Angriffe tritt.

Michael Messner: Penetration Tests sind heute wesentlich bekannter als noch vor wenigen Jahren und die Industrie betrachtet und integriert diese mittlerweile in ihren IT-Sicherheitsprozessen. Durch diese Prozessintegration ist ein wichtiger Schritt zur regelmäßigen Durchführung solcher Sicherheitsanalysen getan, der im Anschluss durch die Durchführung qualitativ hochwertiger Penetration Tests umgesetzt werden muss.

Ein weiterer Trend im Penetration Testing-Umfeld ist eindeutig die Automatisierung. Es werden immer mehr Toolsammlungen angeboten, die Teilbereiche von Penetration Tests automatisieren und vereinfachen sollen. Diese Tools umfassen neben den typischen Schwachstellenscannern häufig weitere Analysefähigkeiten für Webapplikationen und gehen bis zu vollkommen automatisierten Pentesting Frameworks. Im Normalfall haben diese Toolsammlungen jedoch nicht die Qualität eines manuell durchgeführten Pentests. Beispielsweise wird nur auf Schwachstellen getestet, die dem eingesetzten Tool bekannt sind. Der Einsatz dieser Toolsammlungen kann für eine schnelle erste Abschätzung des Sicherheitsniveaus durchaus nützlich sein und wird auch empfohlen. Es gilt an dieser Stelle jedoch zu beachten, dass das keinen intensiven, angepassten und manuellen Test ersetzen kann, sondern nur als Ergänzung anzusehen ist.

Bei der Durchführung von Penetration Tests geht der Trend von der einzelnen serverseitigen Schwachstelle hin zur Darstellung und Abschätzung einer möglichst vollständigen Eskalationskette. In häufigen Fällen umfasst eine solche realistische Abschätzung auch Schwachstellen auf der Clientseite und kann bis zum Ausnutzen von menschlichen Schwächen gehen.

David Wollmann: Als Stichwort sei hier Social Engineering angeführt.

Welches sind derzeit die stärksten Bedrohungen?

Michael Messner: Wenn über aktuelle Bedrohungen diskutiert wird, erhält man im Normalfall mindestens ebenso viele unterschiedliche Sichtweisen, wie man Diskussionspartner hat. An dieser Stelle möchte ich auf drei der größeren Bedrohungsszenarien eingehen.

Nach wie vor ist die fehlende Security Awareness vieler Anwender gepaart mit relativ langen Zeiträumen bis zum Erscheinen und dem anschließenden Einspielen von Sicherheitsupdates eine der größten Herausforderungen im IT Security-Umfeld. Diese Bedrohung beschränkt sich nicht auf eine spezielle Anwenderschicht, sondern gilt für Heimanwender ebenso wie für Anwender im Unternehmensumfeld.

Mit Webapplikationen präsentieren sich nahezu alle Unternehmen im Internet der breiten Öffentlichkeit. Diese Internetauftritte werden immer komplexer und sind häufig schwer zu warten. Zusätzlich möchten Unternehmen keine Ausfallzeiten, da diese unter Umständen negative Werbung für das Unternehmen bedeuten könnte oder potenzielle Kunden/Partner dadurch der Zugriff verwehrt wird. Diese und weitere Gründe erschweren häufig die Umsetzung aktueller Sicherheitstechnologien, wodurch oftmals Schwachstellen lange unerkannt bleiben und dadurch erfolgreiche Angriffe ermöglichen.

David Wollmann: Es gibt heutzutage viele automatisierte Tools, die frei zugänglich sind, um bekannte Schwachstellen auszunutzen. Früher waren diese Scripts und Programme nur sehr wenigen Personen mit entsprechendem Wissen zugänglich. Durch die allgemeine Verfügbarkeit wurde es im Lauf der Zeit sogenannten Script Kiddies, also Personen, die ohne Wissen einfach Scripte oder Angriffstools laufen lassen, wesentlich vereinfacht, ungesicherte Maschinen bzw. Netzwerke anzugreifen und unter Umständen zu kompromittieren.

Wie unterscheidet sich Backtrack zu anderen Betriebssystemen?

David Wollmann: Dem Heimanwender ist Windows der Inbegriff eines Betriebssystems. Linux fristet mehr oder weniger immer noch ein Image als Nischenbetriebssystem, obwohl manche Kommunen und Firmen bereits den Schritt in Richtung Linux gewagt haben.

Gerade im Pentesting-Umfeld bietet Linux allerdings enorme Vorteile gegenüber Windows. Viele Tools, die im Pentesting-Umfeld zum Einsatz kommen, werden in erster Instanz für Linux entwickelt und in häufigen Fällen kommt es zu keiner Portierung auf das Windows Betriebssystem. Neben der Verfügbarkeit der Tools ist ein weiterer entscheidender Vorteil, dass der Anwender sozusagen „näher” am System ist und dadurch deutlich einfacher Zugriffe auf unterschiedlichste Ressourcen wie beispielsweise den Netzwerkstack möglich sind.

Bei Backtrack handelt es sich um eine Linuxdistribution, die speziell für den Einsatz bei technischen Sicherheitsanalysen bzw. Penetration Tests entwickelt und optimiert wird. Es werden die typischen Tools für Sicherheitsspezialisten bereits in das System integriert, vorkonfiguriert und stehen direkt zum Einsatz bereit. Ein oft mühsames Zusammensuchen von Tools, Treibern und das anschließende Erfüllen von komplexen Abhängigkeiten, die beim Kompilieren entstehen, entfallen somit im Normalfall komplett. An dieser Stelle sei angemerkt, dass sich Backtrack als Linuxdistribution eindeutig an erfahrene Anwender richtet. Es wird vorausgesetzt, dass sich die Benutzer mit Linux auskennen sowie zumindest ein Grundverständnis im IT Security-Bereich besitzen.

Wir bekanken uns für das Gespräch.

Interview Partner:

Michael Messner ist IT Security Consultant bei der Integralis Deutschland. Er führt regelmäßig Sicherheitsüberprüfungen namhafter deutscher Unternehmen und Konzerne durch. Die dabei aufgedeckten Schwachstellen dienen den Unternehmen als Grundlage für die Verbesserung ihrer technischen sowie organisatorischen Sicherheit. Er gehört zum Kernteam der deutschsprachigen Backtrack Community.

David Wollmann ist Mitentwickler der Sicherheitsdistribution Backtrack Linux und Mitglied der Exploit Researchgruppe exploit-db.com. Des Weiteren ist er als Moderator im Forum der Backtrack Distribution eingesetzt und Begründer des Backtrack Days. Seine Spezialgebiete liegen im Bereich der Exploitsuche und Entwicklung sowie im Reverse Engineering. Seit Anfang 2009 ist er für die deutschsprachige Community verantwortlich. Hauptberuflich ist er als Internationaler IT Manager bei dem global vertretenen Automobilzulieferer EDAG tätig.