DS023 Pentesting

Dauer: 1:11:19
Veröffentlicht am 17. September 2018

Mit René ‘Lynx’ Pfeiffer zu Penetration Tests in Firmen, dem Faktor Mensch, was in WLANs schiefgehen kann, wo alleingelassene Laptops nicht auffallen und wie spannend Schnittstellen sein können. Nebst Malware in Atomkraftwerken und Flugzeugcockpits.

***

Links:

luchs.at
René auf Twitter
DeepSec

Film Algorithm
Vienna Writer’S Podcast: Technisches Schreiben
Cryptoparty weltweit
cryptoparty.at
Android-Malware in Flugzeugcockpits
PrivacyWeek
Pentesting (Wikipedia)
Bond Tech – I Want More Than Movie Props (Post und Drohne)
44CON London: Our IoT Security Workshop
Wi-Fi Pineapple
WLAN Map
Penetration Testing for Beginners
Burp Suite Tutorial – Web Application Penetration Testing (Part 1)
How To Use Burp Suite – Web Penetration Testing (Part 2)
CCC Static: How To Survive (the Congress)

Trankskript:

Klaudia: Herzlich willkommen zum Datenschutz Podcast. Heute hier mit René Pfeiffer.
René: Hallo.
Klaudia: Zum Thema Pentesting.
René: Ja, Pentesting, Wir werden halt gleich hören, was das ist und es kann auch spannend sein.
Klaudia: Ja, da hab ich von gehört! Wir haben uns gestern gerade tatsächlich mit mehreren anderen Menschen länger darüber unterhalten. Jemand, der jetzt gerade seine erste Stelle als Pentester angenommen hat – also Penetration Tests, für alle, denen das jetzt neu sein sollte. René, Du machst das quasi beruflich.
René: Ja, auch. Ich hab zum Glück nicht immer einen Job, wo man das selber macht den ganzen Tag, aber einen Teil von meinem Job ist halt Systemadministration, sich um Netzwerke und Computer kümmern. Und zusammen mit eiem Geschäftspartner mach ich sogenannte Penetration Tests. Das sind Tests, wo man die Sicherheit von einem System überprüft. Penetration Test kommt aus dem Englischen; “to penetrate” heißt, irgendwo eindringen. Und so klassische Tests sind: kann man irgendwo rein oder kann man etwas beeinträchtigen? Das ist so ganz grob die Vogelperspektive von dieser Tätigkeit.
Klaudia: Und “System” heißt jetzt nicht nur ein einzelner Rechner, sondern im Zweifelsfall auch eine ganze Firma oder ein ganzes Firmennetzwerk.
René: Genau. Ich hab jetzt absichtlich “System” gesagt, weil das kann sein: ein Rechner in einem Rechenzentrum, ein Rechner in einem Büro oder tausende oder sogar, wie Du sagst, Organisationen. Das heißt, da kommen dann noch die Netzwerke dazu. Dann kommen vielleicht sogar die Menschen dazu. Manchmal darf man auch Menschen testen, ob die auf irgendetwas reinfallen. Das ist selten, aber es geht. Dann testet man auch Menschen.
Klaudia: Also die USB Sticks auf dem Parkplatz.
René: Ja. Also USB Sticks verschenken oder sich verkleiden, im Extremfall eine Lieferung irgendwo unterbringen … Dass man einfach irgendwo reinkommt und schaut, was kann man von dort aus sehen.
Klaudia: Auf Twitter hab ich ja auch ein paar Bekannte und da ist auch einer dabei, der jetzt Pentesting macht. Der twittert dann manchmal auch ganz lustige Begebenheiten. Natürlich ohne konkreten Kundenbezug, aber halt so “es ist völlig egal, was auf dieser Zutrittskarte steht, Hauptsache die Hülle passt”.
René: Also wenn man es lange genug macht, kann man glaub ich auch Drehbücher schreiben.
Klaudia: Erzähl mal, wie ist so ein Pentest grundsätzlich aufgebaut?
René: Also grundsätzlich geht’s darum: Eindringen und schauen, was es alles gibt. Der erste Schritt ist immer herauszufinden, was hab ich eigentlich alles vor mir? Wie viele Systeme gibt’s? Was haben die alles? Welche Software? Wie sind sie erreichbar? … Einfach nur Informationen sammeln.
Klaudia: Das heißt, Du weißt, wenn Du irgendwo anfängst, wahrscheinlich noch gar nichts?
René: Das kommt drauf an. Es gibt das Ganze in sogenannten Whitebox und Blackbox Versionen. Die Blackbox Version heißt, man kriegt die Ziele und sonst keinerlei Hilfe.
Klaudia: Und Ziel ist im Zweifelsfall entweder eine IP-Adresse oder …
René: IP-Adresse oder eine Website oder irgendein Name oder irgendwas. Das ist dann die klassische Sicht, die ein Angreifer hätte, weil der kooperiert ja nicht in der ersten Phase. Und dann gibt es das Ganze als Whitebox Test, wo man, sobald man auf irgendetwas stößt, fragen kann: wo führt das hin, was ist daran angeschlossen, wer verwendet das? Und da kriegt man in der Regel auch mehr raus. Es hängt jetzt davon ab, was der Kunde vorhat. Aber die erste Phase ist in beiden Fällen immer zu schauen, wie schaut das System aus und was gibt’s da alles, weil welbst wenn ich rückfragen darf, wer sagt mir, dass der Kunde das weiß? Vielleicht hat man irgendwas vergessen. Es ist immer eine Mischung, aber es gibt diese beiden Ansätze.
Klaudia: Das ist ja auch dieses klassische “wir haben da noch ein System laufen, keiner weiß mehr genau, was es macht, aber schön, dass Sie’s gefunden haben”.
René: Richtig, ja. Man macht dann auch ab und zu einen Abstecher in die Geschichte.
Klaudia: Was ist jetzt der häufigere Fall? Blackbox oder Whitebox?
René: Kann man schlecht sagen. Aber ich würde fast sagen, dass der Whitebox Fall häufiger ist. Manchmal geht es auch darum zu schauen, was kann ein Angreifer tun. Aber es geht auch um einen Test: ist alles richtig konfiguriert? Und da ist es besser, wenn man diesen Rückfragekanal hat, weil das Ganze dann zielgerichteter ist.
Klaudia: Hm, ja. Wie baust Du jetzt so einen Test auf? Was tust Du konkret?
René: Also, der Test beginnt, man hat eine Liste von Dingen, die man anschauen muss und die Dinge schaut man dann an; Anschauen im technischen Kontext heißt, man sendet Daten an die Systeme und schaut, wie sie reagieren und versucht herauszufinden, was die alles haben. Wenn man jetzt zum Beispiel an einen Webserver denkt, der kann ja viele Inhalte haben. Und man versucht möglichst komplett alle interessanten Inhalte zu finden. Und das ist der Knackpunkt: Was ist interessant? Interessant ist all das, was einem Angreifer hilft, entweder einen Angriff zu planen oder durchzuführen. Im Idealfall kriegt man Informationen, die auf eine Schwachstelle hindeuten, die dann einen Angriff zur Folge haben kann. Was viel häufiger passiert ist, und das passiert auch bei tatsächlichen Angriffen. Man darf sich das nicht so vorstellen, dass das alles in Sekunden geht, sondern es gibt Monate wenn nicht sogar Jahre Vorbereitung bei gezielten Attacken. Und diejenigen, die das dann machen, sammeln Monate und Tage Informationen, setzen die zusammen und schauen, wo der beste Weg ist. Das macht man zwar beim Penetration Test auch, hat aber immer die Limitierung der Zeit. Ich kann nicht drei Monate zuschauen, irgendwann muss der Bericht fertig sein, dazu muss man auch noch kommen. Das heißt, Zeit ist einer der Aspekte. Man versucht halt, möglichst komplett nach solchen Sachen, die dem Angreifer helfen und dann wechselt man schon in die zweite Phase. Wenn man erstmal eine Liste von Dingen hat, die vielversprechend sind, dann probiert man aus, ist diese Software wirklich verwundbar? Wie funkrioniert das? Kann ich das System in Probleme bringen? Kann ich irgendwas ausrichten? Und das ist dann schonmal der nächste Schritt wo schon viel manuelles Testen dabei ist, wo ich dann auch ausprobiere und schaue, wie das System reagiert. Bis zur Mitte des Tests Informationen sammeln und schauen, was passiert wenn ich jetzt diese Dinge anwende.
Klaudia: Interessante Daten, wie Du gerade gesagt hast – da sind wir jetzt auch beim Bezug zum Thema Datenschutz.
René: Genau.
Klaudia: Genau. Weil “interessante Daten” kann ja alles Mögliche sein. Da kann man im Zweifelsfall auch mal eine Mitarbeiterdatenbank finden oder sonst irgendwas.
René: Ja, das ist teilweise auch schon harmloser. Das ist eine große Schwierigkeit. Es gibt in der Technik den Begriff “Informationsleck”. Das ist Information, die einfach abhanden kommt, weil sie einfach verfügbar ist. Im ungünstigsten Fall sind das schützenswerte Daten, dann hat man wirklich ein Problem, wie Du sagst: Mitarbeiterdaten, private Daten, Geschäftsdaten …
Klaudia: Oder diese Datenbank von – was war das? – Mattel? Mit diesen Barbiepuppen mit den Stimmaufzeichnungen von Kinderzimmern rund um die Welt.
René: Genau. Das darf natürlich nicht sein, aber ein Informationsleck hat ja keinen Kontext. Das heißt, Informationslecks werden generell mal erfasst, ob die jetzt eine Rolle spielen oder nicht. Zum Beispiel bei Informationen wie ‘das System hat eine bestimmte Version einer Software’; das ist ein Informationsleck. Ob das jetzt relevant ist oder nicht, definiert der Kontext. Genauso wie zum Beispiel Ortsdaten. Zum Beispiel, wenn ich jetzt weiß, es treffen sich zwei Personen an einem bestimmten Tag an einem bestimmten Ort zu einer bestimmten Zeit (oder wie auch immer), ob das jetzt ein Informationsleck ist oder nicht, entscheidet der Kontext. Ist es ein Problem für die Personen, wenn man das weiß, oder nicht? Und das kann man oft beim Testen nicht feststellen. Deswegen werden die Sachen einfach mal erhoben und berichtet und dann muss irgendwer entscheiden, ob das relevant ist. Aber Informationslecks sind immer spannend. Je mehr man findet, ist es wie so ein Puzzle. Man kann dann einfach die Sachen zusammensetzen und dann sieht man zum Beispiel diesen Zusammenhang und das sind die Systeme, die so und so eingesetzt werden.
Klaudia: Hast Du ein konkretes Beispiel?
René: Konkret darf ich nicht werden.
Klaudia: Konkret ohne Namensnennung!
René: Es gibt halt die klassischen Webseiten. Eine Website wird neu publiziert, wird neu gebaut und dann nimmt sie ihren Dienst auf. Was da halt oft passiert ist, dass wenn die Website mal eine Weile in Betrieb ist (oder auch, wenn sie frisch im Betrieb ist), es wird vergessen, zum Beispiel Dinge zu entfernen. Es sind zum Beispiel Wartungszugänge im Sinne von – ich weiß nicht, ob jetzt hier Blogger zuhören, aber es gibt ja diese Logins, wo man dann ins Backend kommt und dann den Artikel schreibt oder wie auch immer. Die Zugänge sind teilweise verfügbar. Man muss zwar noch ein Login und ein Passwort eingeben, aber das ist ja blöd, da kann ja jemand testen. Das sind schonmal Anfänge, die man so hat. Ein konkretes Beispiel, weil wir über Geschichte geredet haben: Am spannendsten sind immer interne Netzwerke, weil man da teilweise wirklich Geräte sieht, die schon lange nicht mehr verkauft werden, oder der Klassiker: Windows XP ist gerade abgelaufen der Support. Man findet immernoch Windows XP, man findet immernoch Windows 2000 hier und da, das ist selten, aber es kann ziemlich viel passieren und man kann ziemlich viel zu Gesicht bekommen.
Klaudia: Wobei “selten ” ist jetzt auch eine Sache beim Thema Windows XP. Wir hatten ja schon einmal eine Folge aufgenommen zum Thema “Technisches Schreiben”, da hatten wir uns auch zum Thema Windows XP unterhalten. Da gibt es ja auch wirklich relativ neue Sachen, die trotzdem mit Windows XP laufen, weil die halt einmal darauf lizensiert worden sind wie zum Beispiel MRT Geräte oder dieses Kriegsschuff der UK Marine, wo man jetzt neue und immernoch in Betrieb befindliche Geräte auf Windows XP in Netzwerken hängen hat.
René: Ich muss vielleicht noch ein bisschen korrigieren, die Darstellung: Die Systeme trifft man nicht immer deswegen, weil sich niemand drum schert, sondern wenn ich jetzt Produktionen hab oder Bereiche, wo ein Prozess involviert ist, der aufwändig ist um ein System bereit für die Produktion zu machen, dann kann ich das nicht einfach so wiederholen wie zu Hause einen Laptop neu zu installieren. Im privaten Kontext oder ein Kontext, wo es weniger schwierig ist, das zu machen, nehme ich einfach die DVD oder den USB Stick und installiere das Ding neu und fertig. Das kann ich halt in Systemen nicht machen, die viele Abhängigkeiten haben und wo ich diesen Prozess hab zu prüfen: Ist das Ding wirklich für die Produktion geeignet? Und deswegen findet man das teilweise noch.
Klaudia: Und dann könnte man natürlich auch testen, wenn man schon ein gut abgehangenes System irgendwo drin findet, kommt man da halt auch rein? Und wo dann vielleicht noch weiter?
René: Genau. Es gibt verschiedene Arten von Tests, die destruktiven Tests, die ein System beeinträchtigen, wo jetzt allein durch die Attacke etwas geändert wird am System – die Sachen werden meistens nur in Absprache durchgeführt oder nur aufgezeichnet, weil es gibt Attacken, die kann man nicht wirklich rückgängig machen ohne dass man das System repariert und wenn man weiß, es gibt diese Schwachstelle, kann man das ja anders lösen. Und dann gibt es natürlich die Sachen, die nicht destruktiv sind, wo man dann sehen kann: so würde die Attacke funktionieren. Ein gutes Beispiel: eMail-Systeme. Wenn eine eMail irgendwo durchkommt, und da ein Marker drin ist, der anzeigt, das wäre jetzt eine Schadsoftware, ist aber keine, dann ist das ein nichtdestruktiver Test, weil ich sehe es, es ist nichts passiert und es ist ein Problem und wird dann aufgenommen.
Klaudia: Das heißt, Du machst einen eMail Anhang, der wird von einem System erkannt, tut aber letztendlich nix.
René: Genau.
Klaudia: Also eine Fake-Malware.
René: Genau. Diese nichtdestruktiven Tests macht man auch oft mit Überlasttests. Es gibt Möglichkeiten, Systeme zu überlasten, Bandbreite oder Prozessorlast oder irgendwas …
Klaudia: Zeitgleiche Zugriffe … Das, womit die meisten Webseiten down gehen.
René: Diese Dinge werden in diesen Tests wenn es ein Potential gibt auch in der Regel markiert, berichtet, aber nicht durchgeführt, weil der Erkenntnisgewinn ist gering. Ja, es geht. Schön. Man muss eben etwas dagegen tun.
Klaudia: Das heißt, wenn Du jetzt so einen Test durchführst, egal welchen jetzt letztendlich, Du hast eine Sequenz an Schritten, die Du durchgehst, hast dann so diverseste Sachen ausprobiert, vielleicht auch einiges gefunden und das geißt Du dann in einen Report, also in einen Bericht für den jeweiligen Auftraggeber. Korrekt?
René: Genau, richtig. Das ist dann die letzte Phase. Und jetzt muss man sich vorstellen, die ganzen Tests, die ich bisher erwähnt hab, die generieren Daten. Logs und hier ist was, da eine Ausgabe, Screenshots, … irgendwas. Das heißt, wenn man den Bericht beginnt, hat man einen ganzen Haufen von Rohmaterial, das man verwenden muss und da gibt es auch – wo Du es eben erwähntest – einen Bogen zum technischen Schreiben. Wenn ich jetzt in dem Bericht etwas erwähne, muss ich es belegen. Und die Quelle bin ich. Das heißt, wenn ich jetzt sage, ich habe das und das gesehen, dann muss ich das belegen. Es ist schwierig, sich am Anfang anzueignen, alles mit einem Screenshot zu versehen, alles abzuspeichern, alles zu ordnen, dass man es auch wiederfindet. Weil wenn ich sage, das und das hab ich gesehen und das ist so und so, dann muss ich das auch begründen können. Und das ist eigentlich der schwierigste Teil an diesem ganzen Test. Erstens: Ich muss die Sachen komplett aufbereitet niederschreiben, in einer Form in der man sie nachvollziehen kann und in einer Priorisierung nach Schweregrad. Wir kennen das vom Lesen: Ich erwarte mit eine Priorisierung und das muss in dem Bericht abgebildet werden, dass die schlimmsten Sachen zuerst kommen und dann zum Schluss die Dinge, die man bei Gelegenheit beheben kann.
Klaudia: Nicht umgekehrt so aufbauend?
René: Nein, man macht es nicht so wie in Drehbüchern, wo der Höhepunkt zum Schluss kommt. Es ist da eher umgekehrt.
Klaudia: Ok, also Management Summary quasi.
René: Genau. Man erfährt gleich, wer der Mörder war und der Rest ist dann wer, was und warum.
Klaudia: Ok, es ist kein Whodunnit sondern … how.
René: Genau. Das ist schwierig, weil das Problem ist sowohl bei technischer Dokumentation aber auch bei Penetration Tests, man schreibt ein Dokument für … im schlimmsten Fall ist es eine Organisation, die aus mehr als zwei Personen besteht, dann gibt es zwar eine Kontaktperson, aber man schreibt etwas ins Blaue hinein. Weil man weiß nämlich nicht, wer wird es lesen und wird es wer lesen. Da bin ich jetzt ganz ehrlich. Es kann auch sein, wenn nichts Schweres gefunden wird, sagen sie ‘passt, ist in Ordnung, nächstes Jahr wieder’ oder so. Aber das heißt, man schreibt für ein Publikum, wo man nicht weiß, was haben die für Vorkenntnisse, verstehen die das? Das heißt, man muss auch dort so eine Einteling machen: erstman technikagnostisch zusammenfassen, was ist jetzt eigentlich gefunden worden, wie schlimm ist es und worum geht’s? Dann macht man eine Auflistung und dann kommen halt die ganzen Sachen für die Techniker als Anhang, die Logs, Scans und sowas, wo dann wirklich die Leute reinschauen, die sich auskennen.
Klaudia: Das heißt, Auftraggeber ist nicht zwingend immer die IT-Abteilung, sondern kann auch – keine Ahnung – wer auch immer sein. Ich denke da an ein mittleres bis größeres Unternehmen, wenn Du da einen Standort mit 600 Leuten hast, da ist natürlich viel Angriffsfläche an vielen Ecken und Enden da. Von den auf dem Parkplatz ausgestreuten USB Sticks mit irgendeiner Malware drauf – oder Fake-Malware – bis eben zu tatsächlich die Website, die noch irgendwelche Schwachstellen offen hat.
René: Das wird in der Regel am Anfang festgelegt, was sind die Ziele. Weil Du es grad sagst, größere Unternehmen: Wir hatten auch mal den Fall, wo wir 1.500 Systeme gemeldet bekommen haben. Wir haben dann einen Gegencheck gemacht und geschaut, wem gehören die denn eigentlich? Wir sind dann drauf gekommen, dass ein Drittel davon gar nicht dem Kunden gehören. Das war der erste Fund gleich. Da hatte irgendwer die EDV nicht ganz korrekt abgebildet. Ist auch ein klassischer Fall von Outsourcing. Wenn jemand, der für mich ein System managed, wenn ich dem den Auftrag gebe ‘mach meine Webseite’, dann kann der ja wiederum Subkontraktoren haben und dann testet man vielleicht einen Kunden mit einem Firmennamen und jetzt steht aber bei der IP-Adresse des Webservers irgendeine andere Firma. Das muss man halt am Anfang des Tests ganz genau festlegen, sonst testet man Dinge, die vielleicht gar nicht dazu gehören.
Klaudia: Und ich vermute, das passiert gar nicht so selten.
René: Das passiert gar nicht so selten; wie Du jetzt sagst, mit großen Unternehmen: Theoretisch weiß der IT-Leiter alles über die IT, aber der oder die IT-Leiderin ist ja auch angewiesen auf das Team und die Informationen und die Mitarbeiter und Outsourcer, … Aber ich trau mich zu sagen, dass relativ wenig Firmen ganz genau wissen, welche Ressourcen sie wo haben.
Klaudia: Jetzt der Bogen zurück zum Datenschutz. So ein Klassiker ist ja dann immer das Passwort an der Pinnwand oder unter der Tastatur – das ist ja schon Level2! Aber Pinnwand oder auf dem Post-It am Monitor das kennt man ja auch. Da gab es ja diesen Vorfall vor zwei oder drei (?) Jahren bei diesem französischen Medium, die dann plötzlich einen sogenannten “Hackerangriff” hatten, wo sie in diesem Fernsehinterview das Passwort genau hinter dem interviewten Menschen an der Pinnwand hatten. Das ist ja dann auch eher peinlich. Kein Hackerangriff, sondern eigentlich eher blöd.
René: Ja, ich mein, das ist der Faktor Mensch. Da möchte ich jetzt gar nicht auf die Benutzer und Benutzerinnen schimpfen. Es ist ja verständlich. Ich hab auch über 200 Passworte, die ich mir merken sollte. Ich mach es eh nicht, also verwahre ich sie irgendwo. Man hat ja auch so verschiedene Level an verschiedenen Dingen. Zum Beispiel die wichtigen Sachen sind in der Brieftasche und am Tisch klebt in der Regel etwas, das nicht wichtig ist auf Post-Its. Das ist so ein schlauer Fall in Penetration Tests, das kann auch so ausschauen, dass nur ein Teil der Firma eingeweiht ist und dass man lokale Standorte anschaut, dass man eine Besprechung macht und sich währenddessen umschaut, was kann ich denn alles noch sehen, erfahren oder scannen? Grade so Drahtlosnetzwerk, WLANs sind da sehr ergiebig. Aber man schaut da auch oft, was liegt denn am Tisch? Was hängt irgendwo? Wie ich noch jung und unerfahren war, hab ich nicht verstanden, was eine Clean-Desk-Policy soll. Meine Arbeitsflächen sehen alles andere als clean aus, weil ich einfach die Dinge, die ich brauche, dort stapele und der Kaffee steht natürlich auch da. Aber sowas macht schon Sinn, wenn man Fremde in einem Unternehmen hat, die halt man auf Schreibtische schauen. Oder jetzt hat jeder ein Smartphone, mit Smartphones kann ich alles ruckzuck fotografieren und es fällt nichtmal auf, wenn ich mich an einen Schreibtisch stelle und mein Handy rausnehme, denkt sich niemand was dabei. Aber das kann schon kritisch werden.
Klaudia: Du kriegst ja auch relativ einfach quasi jemanden in einen Blaumann gesteckt, der dann halt behauptet, er wartet da gerade die Klimaanlage oder so und macht das dann mal nebenbei.
René: Ja, das passiert mir gelegentlich auch so. Wir hatten mal einen Termin mit einem Geschäftspartner bei einem Anwalt. Er war, ich sag mal ‘normal’ gekleidet und ich kam grad aus dem Büro und hatte eine Lieferung und hatte halt eine Kappe auf und einen Karton unter’m Arm und mein Kollege wird gefragt: “Ah, Sie kommen zum Termin, Besprechungsraum sowieso.” Und dann schaut die Dame mich an und meint “Und Sie bringen was?” Aber das gehört auch dazu und da gibt es ganz große … Hürden im menschlichen Hirn, die so Sachen überstimmen. Man möchte ja freundlich sein, aber erste Eindrücke täuschen und man will ja auch nicht unfreundlich sein und die Leute gleich mal in die böse Schachtel stecken. Aber muss ja nicht sein. Beim kritisch Hinterfragen kann man ja auch unfreundlich sein.
Klaudia: Du sagtest gerade noch, Netzwerke scannen … Ich erinnere mich noch an eine sehr amüsante Cryptoparty, da warst Du Vortragender und hattest so ein Gerät dabei, dieses Pineapple-Dingsbums.
René: Den Pineapple WLAN Scanner.
Klaudia: Genau. Ganz grandiose Sache. Du hattest den dann auch vorgeführt und ich erinnere mich noch dran, wie jemand (und es war nicht ich!) … jemand, der nicht weit weg saß und ein bisschen rot angelaufen ist, als er seine eigenen Netzwerknamen wiedererkannt hat. Magst Du vielleicht kurz darüber berichten?
René: Ja, weil ich eben gerade auch sagte, Smartphones hat jeder. Tablets, Smartphones und Laptops machen folgendes: Nachdem ja alle Welt drahtlose Netzwerke verwendet, WLANs, hat jedes Gerät die Liste der WLANs, die vorkonfiguriert sind. Das ist Zuhause, Arbeit, Café, Bahn, Flugzeug, Hotel, … Was jetzt aber leider passiert ist, wenn dieses Gerät keines dieser Netzwerke findet, … oder umgekehrt. Wenn ich das Gerät einschalte, sucht es mal automatisch die Liste dieser Netzwerke durch. Denn es hat ja keine Ahnung, wo es ist und warum es da ist und wann es wieder nach Hause kommt. Das heißt, diese Geräte werden die Netzwerke der Reihe nach durchprobieren und schauen, gibt’s die?
Klaudia: Für alle, die jetzt egrade nicht den technischen Hintergrund haben oder sich selten mit ihren Netzwerkeinstellungen am Gerät auseinandersetzen, das sind quasi die gemerkten Netzwerke, wo man aussuchen kann, nach dem zuerst suchen oder vielleicht dieses Hotel-WLAN doch mal wieder rausschmeißen.
René: Genau. Kennt jeder vielleicht vom Handy oder sowas. Da gibt’s ja die Liste. Wenn ich auf “WLAN” gehe, gibt’s die Liste und bei vielen – oder bei einigen – steht ‘gespeichertes Passwort’ und ‘soll ich mich verbinden’. Und wenn das Ding halt da ist, geschieht das automatisch. Was aber vielleicht vielen nicht so klar ist, ist dass die Geräte, wenn das WLAN eingeschaltet ist, ständig diese Netzwerke suchen. Und ich hatte bei dieser Cryptoparty einen Scanner dabei, der nichts anderes gemacht hat als zuzuhören und sich zu merken, welches Gerät welches Netzwerk sucht. Diese Liste hab ich dann mal an alle Geräte geschickt, so dass alle die Netzwerke aller anderen kurzfristig sehen. Dieses Gerät kann vorgeben, ein anderes Netzwerk zu sein und da dürften einige sich ein bisschen ertappt gefühlt haben oder überrascht gefühlt haben. Ich hab das auch mal gemacht in einem Hotel. Da hab ich vorgetragen vor Versicherungsermittlern und hab mal zwei, drei vier Stunden dieses Ding mitlaufen lassen. Ich hab dann nach dieser Zeit über 2.000 Geräte gefunden, die tausende von Netzwerken gesucht haben. Und das ist jetzt für Penetration Tests relevant, weil wenn ich jetzt zum Beispiel ein Gerät isoliere, dann habe ich alle konfigurierten Netzwerke auf diesem Gerät. Und wenn dort halt Hotels in bestimmten Ländern oder Städten stehen oder bestimmte Orte oder Namen, dann ist das so ein klassisches Informationsleck. Ob das jetzt relevant ist oder nicht, aber in der Regel kann man feststellen, wo die Leute üblicherweise Kaffee trinken, wo sie essen, wie sie reisen, wo sie wohnen. Die privaten Netzwerke kann man teilweise nicht immer identifizieren, aber viele ändern ja nicht den vorkonfigurierten Netzwerknamen ihres Internetserviceproviders und dann weiß ich, der ist bei dem Hersteller, der hat davon einen Internetbreitbandanschluss oder nicht.
Klaudia: Du hattest auch erzählt gehabt bei derselben Cryptoparty, es gibt im Netz irgendwo eine Map von privaten Netzwerken.
René: Ja.
Klaudia: Wie gut oder schlecht auch immer die jetzt tatsächlich ist, aber grundsätzlich gibt es wohl sowas.
René: Es gibt sowas. Und zwar können wir das in die Links geben. Das ist eine sogenannte WiFi-Wardriving-Datenbank. Zum Begriff “Wardriving”: Das kam auf, als die WLANs sich verbreitet haben, da hat man einfach sich ins Auto gesetzt mit dem Laptop und nach WLANs gescannt und Ortsinformationen dazu gegeben. Diese Datenbank sammelt diese Einträge von Freiwilligen. Da sind jetzt glaube ich über 300 Millionen Einträge drin, als ich zuletzt geschaut hab. Tendenz steigend. Und was sehr wohl sein kann ist, wenn man jetzt einen Nachbarn hat, der sich damit beschäftigt und der scannt und die Sachen rauflädt, dann nehme ich zum Beispiel ein Netzwerk, das ich nicht kenne, gehe auf diese Datenbank und dann hab ich mit Glück die Geokoordinaten, wo dieses Netzwerk denn zu finden ist. Und dann weiß ich zum Beispiel, wo wer wohnt, wenn ich das dann herausfinden kann und dann sind wir bei privaten Daten und dann ist das Informationsleck mal mit Kontext belegt.
Klaudia: Das heißt, es ist sowohl für Penetration Tests interessant im Business Umfeld, aber auch im privaten Umfeld, wenn man mit seinem Telefon im Kaffeehaus sitzt, dieses Telefon schreit dann x Mal po Sekunde eine Reihe an Netzwerknamen raus – wieviel ist es? Ich glaub, 10 Mal pro Sekunde?
René: Ich weiß es jetzt gar nicht. Die Rate ist nach Gerät verschieden, aber in Minuten habe ich die Liste.
Klaudia: Ja. Und irgendwer anderer sitzt da – entweder ein Stalker oder jemand, der einbrechen will oder sonstwas. Die Liste an Möglichkeiten ist da ja lang. Also Menschen fällt ja viel ein.
René: Genau.
Klaudia: Gut … Also nicht gut!
René: Gar nicht gut!
Klaudia: Es wird alles nur viel schlimmer. Also ein Hinweis ist ja, WLAN abdrehen an Geräten, mit denen man unterwegs ist.
René: Da gibt’s aber was ganz Fieses. Die Handyhersteller – ich hab ein Android … das sollte ich jetzt vielleicht nicht sagen. Aber ich hab ein Android, ich geb’s zu. Google zum Beispiel sammelt teil-anonymisiert diese WLAN Infos um eine Standortbestimmung zu erleichern. Ich weiß nicht, ob das jemand schonmal ausprobiert hat, aber es gibt ja verschiedene Level an Standortbestimmungen, es gibt GPS, das dauert am längsten und dann kann man noch die anderen Sachen dazuschalten. Und die Smartphones nehmen tatsächlich die WLAN Info von bekannten WLANs um den Standort schneller bestimmen zu können.
Klaudia: Das ist ja das mit dem Google Maps oder halt auch einige Open Street Map Apps funktionieren ja nur dann ordentlich, wenn Du das WLAN einschaltest.
René: Genau.
Klaudia: Weil sonst finden sie Dich einfach auf der Landkarte nicht. Das ist extrem mühsam, nervt mich auch immer und ich ärgere mich auch jedes Mal, wenn ich irgendwo stehe und gerade halt mal kurz auf eine Landkarte angewiesen bin und dann ‘ja, erst WLAN andrehen’ kommt. NEEIIIINNN!!!! Verdammt!
René: Ich behelfe mir damit, wenn ich partout nicht will, wenn ich irgendwo bin dass mein Handy die Liste rausposaunt, dann nehme ich so einen mobilen Accesspoint mit, der WLAN hat, dann bucht sich mein Handy in das WLAN ein, das ist dann portabel und dann schreit es nicht herum und publiziert die Liste.
Klaudia: Der Tipp ist gut.
René: Ja, kann man verwenden.
Klaudia: Ja, ok. Ich glaube, ich werde auf sowas zurückkommen. Auch noch ein Hinweis, apropos WLAN: Es gibt ja in urbanen Gebieten sehr viele Accesspoints, die primär genau das machen, nämlich Standortbestimmung, die aber selber keine SSID tatsächlich ausstrahlen. Das heißt, man findet die vom Gerät aus eigentlich nicht – außer man sucht gezielt danach. Aber in vielen Geschäften zum Beispiel gibt’s die, die dann Besuchermessung machen aufgrund der Geräte, die es eben im WLAN findet.
René: Oder die abstrahlen.
Klaudia: Genau. Alle Geräte, die WLAN aktiviert haben, werden dadurch erfasst. In Geschäften, in größeren Kaufhäusern wird das genutzt, um rauszufinden, welches Gerät steht wie lange vor welchem Regal und so weiter, und so fort. Da gibt es schon erstaunlich viel, was man so machen kann.
René: Da fällt mir grad ein – Standortbestimmung, jetzt wo wir über WLAN geredet haben. Ich muss gelegentlich Kopfhörer aufsetzen, weil es einfach schöner ist und die Kopfhörer gibt es mittlerweile mit Bluetooth und mit Kabel. Bluetooth ist auch so eine Geschichte. Bluetooth Geräte strahlen teilweise auch Informationen ab, die man feststellen kann. Man kann auch Bluetooth Geräte finden, machen wir auch bei Penetration Tests. Und es gibt diese Standortbestimmung von Kaufhäusern, wo Du gesagt hattest mit WLAN. Das gibt’s auch mit Bluetooth. Und zum Beispiel der Flughafen in Schiphol in den Niederlanden hat es vor Kurzem eingeführt, dass sie eine Standortbestimmung von Bluetooth Geräten machen und von WLAN Geräten. Das funktioniert dann zum Beispiel, wenn man Bluetooth Kopfhörer aufhat, Musik hört, Podcasts hört, dann ist ständig eine Transmission da und das kann dann detektiert werden. Also dann wieder auf Kabel umsteigen und ja …
Klaudia: Ja …
René: Oder nicht fliegen. Oder wie auch immer.
Klaudia: Ja genau. Also Bluetooth ist halt noch nicht so häufig im Einsatz wie WLAN …
René: Ja, wegen der Reichweite.
Klaudia: Und WLAN ist sehr häufig tatsächlich. Da gab es ja auch hier konkret in Wien bevor die sie Mariahilferstraße, also die große Einkaufsstraße hier umgebaut haben, gab es ich glaube ein halbes Jahr lang eine Messung, wo sie das wohl als Pilotprojekt wohl eingeführt haben, dass sie die WLAN Accesspoints aufgestellt haben, um eine Besuchermessung durchzuführen.
René: Genau, ja.
Klaudia: Das steht aber auch nirgendwo. Das weiß man halt, wenn man es mal zufällig in einem Nebensatz liest in einem Interview, aber da steht jetzt nicht am Eingang der Mariahilferstraße: “Übrigens, hier gibt’s überall WLAN und wir tracken das zurück”.
René: Sollte das nicht irgendwo stehen?
Klaudia: Naja gut, es geht ja noch weiter. Es gibt ja auch Anbieter, die halt WLAN Accesspoints zur Verfügung stellen, also auch für Kaffeehäuser und so weiter und Geschäfte, und da kann man jetzt nicht einmal was dafür oder dagegen machen, die haben einfach komplette Bewegungsprofile von Geräten. Wenn es jetzt so Mobilgeräte wie Telefone sind, kann man natürlich davon auf die Menschen dahinter schließen. Das heißt, sie haben komplette Bewegungsprofile von Menschen jetzt nicht nur in der Stadt, sondern überall, wo dieser Anbieter Geräte hat. Und das ist dann entweder in Tourismusgebieten oder in urbanen Gebieten auch mal relativ flächendeckend. Da hast Du dann vielleicht mal 500 Meter dazwischen Pause und dann …
René: … geht’s wieder weiter.
Klaudia: Da könnte man auch mal hier oder da so eine Anfrage nach DSGVO machen.
René: Ja.
Klaudia: Was für Daten habt Ihr denn von mir, das ist übrigens die Macadresse meines Gerätes.
René: Ja, vielleicht zu den Adressen. Da gibt’s sogar Gerichtsentscheide, wenn man jetzt von IP-Adressen redet, die sind nicht personenbezogen, bis sie es halt sind. Im Sinne von: Wenn ich eine Adresse einer Person zuordnen kann, ist sie eben personenbezogen und da kann ich halt nichts dran ändern. Und diese Geräteadressen, wie Du gesagt hast, die sind statistisch ziemlich gut und eigentlich in der Theorie eindeutig für das Gerät. Das heißt, wenn jemand seine Geräteadresse nicht ändert im WLAN, kann ich damit sehr wohl sagen, dass dieses Handy oder dieser Laptop oder dieses Tablet und damit ist es personenbezogen.
Klaudia: Genau. Und dann haben halt irgendwelche Firmen – das ist jetzt nichtmal Kaufhauskette Sonstwas, sondern irgendeine Firma, die darin halt das Netzwerk macht, hat dann halt entsprechende Bewegungsprofile.
René: Eben.
Klaudia: Hättest Du auf solche Bewegungsprofile – je nach Ziel des Tests – auch Zugriff?
René: Das hängt jetzt vom Umfang des Tests ab. Aber ich persönlich mach es gern, weil es sehr ergiebig ist, die drahtlosen Netzwerke werden oft ausgenommen aus den Tests, weil die Leute sagen ‘naja, wir wissen eh, dass es ein Problem ist’. Aber was halt schön ist, wie Du sagst, Geräte die in der Nähe sind, krieg ich automatisch. Ich brauch nur schauen und dann nur auswerten und dann krieg ich auch automatisch – wenn wir über Smartphone reden … Angenommen, ich hab in einer Firma mehrere Mitarbeiter. Selbst wenn die nicht im Firman-WLAN sind und wenn sie drin sind, hab ich sie sowieso. Aber selbst wenn sie nicht drin sind und das WLAN nicht abschalten, weiß ich, wann die kommen und gehen. Das ist zum Beispiel super, um die Zeiten herauszufinden, weil dann weiß ich auch, um die Zeit ist sicher niemand da. Und dann wird es wieder spannend für Angreifer, die vielleicht auch physischen Zugriff haben wollen. Und sowas zu erheben ist ziemlich easy. Ich weiß nicht, ob jemand den Film kenmt “Algorithym”? Mal gesehen? Tipp: Algorithm unbedingt anschauen, ist sehr realistisch. Da möchte nämlich jemand bei einer Firma einsteigen und nimmt sich als Ziel die Geschäftsführung. Und da gibt es eine Szene in dem Film, wo er vorher bei Hardwarehackern war und in den Garten vor’s Wohnzimmer eine Chipsdose stellt und dann wieder geht. Und was das Ding macht ist nichts anderes als zu schauen, was gibt es denn da alles? Profile erstellen, schauen, wann ist wer da? Und im Film geht es dann halt weiter. Aber das ist total easy zu machen. Kleine Computer gibt’s recht billig, Akkus gibt’s auch recht billig, wetterfeste Gehäuse gibt’s auch recht billig. Das wird einfach deponiert und irgendwann holt man das wieder ab, wenn das Ding kein Internet hat und dann hat man einfach die ganzen Daten.
Klaudia: Das muss ja wahrscheinlich nur zwei Tage da stehen, wenn überhaupt.
René: Genau. Also je nachdem was ich anschauen will. Wenn ich das Wochenprofil haben will, muss es länger da stehen.
Klaudia: Aber so ne Woche da kommt man mit so einer mittelgroßen Powerbank schon mittlerweile hin.
René: Ja, und wenn nicht, USB gibt’s überall und speziell wenn man in der Firma ist, mal schnell irgendwas irgendwo anstecken, das geht schon.
Klaudia: Meine dunkle Erinnerung – jetzt auch wieder zurück an dieses Pineapple Device – das war ja grobe Richtung handgroß.
René: Ja, in etwa doppelt so groß wie eine Zigarettenschachtel ungefähr, 12 Volt. Also sehr leicht irgendwo unterzubringen. Wie gesagt, wenn wir zum Beispiel in den Büroräumen sind, wenn wir was unterbringen wollen, es ist eh immer irgendetwas angesteckt. Es fällt überhaupt nicht auf.
Klaudia: Wie viele Tests habt Ihr tatsächlich in Büroräumen? Oder ist der Großteil eher ‘komme ich von außen irgendwo drauf’?
René: Der Großteil ist meistens von außen, weil viele Firmen halt Internetdienste haben. Das ist ihre größte Sorge. Wir hatten aber auch schon Tests, wo wir Produktionsräume untersucht haben, zum Beispiel auch nach WLANs, die da nicht hingehören. Das sind dann Firmen, die entweder internen Bedrohungen ausgesetzt sind oder die einfach wissen wollen, was in ihrer Umgebung ist. Wenn man jetzt zum Beispiel eine dicht besiedelte Stadt annimmt, Büro- oder Produktionsräume hat, man ist in einer Stadt nie allein. Und speziell weil WLAN ja keine Wände als Begrenzung sieht, ist auch ein klassischer Angriff, sich als Nachbar einzumieten. Es gibt auch Firmen, die haben da Angst, dass sich jemand einmietet. Es gibt auch diese Startupbüros, wo temporär Leute drin sind oder Coworking Spaces, die in der Nähe von Firmen sind und das ist natürlich auch eine Bedrohung weil man nicht weiß, wer dort ist. Weil dort temporär jemand sein kann. Und dann vielleicht auch Zugriff erlangt.
Klaudia: Interessanter Punkt, da hatte ich noch gar nicht drüber nachgedacht. Coworking Spaces sind …
René: … Ja natürlich, da fällt ein Laptop nicht auf. Wenn ich am Friedhof mit einem Laptop sitze, dann falle ich vielleicht auf.
Klaudia: Möglich.
René: Also … man schaut dann zumindest mal. Man darf das ja noch machen, aber man sieht das halt.
Klaudia: Ja, wobei … statt der Pringles Dose könntest ja auch so eine chice Grabkerze nehmen.
René: Ja, man kann auch die Pentest-Urne nehmen oder so. Aber es gibt halt Umgebungen, wo ein Laptop eher normal ist. Und da wird es dann wieder spannend. Ich mein, ich möchte jetzt auch nicht wieder Ängste schüren vor Leuten mit Laptop und für alle, die Angst vor Leuten mit Laptop in Hoodies haben – echte Verbrecher tragen Anzug und keine Hoodies. Also da brauchen sie sich keine Sorgen machen. Aber das spielt halt auch mit rein. Diese Tests sind halt deswegen nicht so oft gefragt, weil sie einfach aufwändiger sind. Da muss man vielleicht dort hin und das kostet Zeit und man muss vielleicht anreisen und das ist dann ein bisschen schwieriger zu bewältigen.
Klaudia: Das ist eher so eine Sache, was man einmal in fünf Jahren macht oder so.
René: Ich würde es gern öfter machen, weil wir haben zum Beispiel auch ganz lustige Sachen erlebt. Das ist jetzt gar keine Pentest Geschichte, aber es könnte eine sein! Zum Beispiel: Ein Kunde hat einen Standort aufgelöst in so einem riesigen Bürokomplex – Hochhaus, viele Firmen eingemietet und so Technikräume; hatte schon fast so Die Hard Qualität. Und jetzt meldet man das Internet ab und mich ruft ein Techniker an vom Internetserviceprovider: “Ja, ich komm das Modem holen, wo ist es denn?” Ich sag: “Naja, das weiß ich nicht. Ich hab’s noch nie gesehen.” Und er hat gemeint: Ja, ich möchte es aber holen. Es ist erreichbar, es ist eingeschaltet, aber ich finde es nicht.” Und ich hab das noch nie gesehen in 15 Monaten nie gesehen das Modem. Wie haben dann mit Hilfe der Hausverwaltung versucht, die möglichen Technikräume abzuklappern, wo das denn sein könnte und haben nach drei Wochen aufgegeben. Und umgekehrt heißt das aber auch, dass wenn ich mir ein bisschen Mühe gebe und da irgendwas deponiere, bleibt das mal dort.
Klaudia: Ja, offensichtlich. Da wäre das ganz praktisch, wenn die Dinger ‘Piep’ machen könnten.
René: Können sie ja. Weil SIM-Karten für Mobilfunknetzwerke und Modems sind mittlerweile so klein, dass wenn ich irgendwas deponieren will, dann mach ich das halt und ich hab auch Netz, weil es ist eine SIM-Karte drin und das Ding hat Mobilfunknetzwerk.
Klaudia: Das hatte ich übrigens gemacht bei meinem letzten Arbeitgeber, das war ein Großraumbüro und so weiter. Und damit ich zumindest in der Pause mal nach Mails checken kann und ich nicht immer am kleinen Mobiltelefonbildschirm rumfrickel, hab ich mir ein Tablet geholt, was eine eigene SIM-Karte hat, damit ich da halt nicht ins WLAN muss. Weil ich meine privaten Geräte nicht in Firmennetzwerke hänge. Grundsätzlich nicht.
René: Schade nicht, wenn man das nicht macht.
Klaudia: Eben. Und weil ich auch der Meinung war, das geht jetzt meinen Arbeitgeber ganz herzlich wenig an. Und dann konnte ich zumindest auf dem Tablet mal nach eMails schauen, usw. Was bei verschöüsselten Mails natürlich auch nur begrenzt hilft, aber man kann zumindest sehen, das und das ist reingekommen. Schon nicht so schlecht. Mir fällt glaub ich eine ganze Reihe an Firmen ein, die mal so einen Pentest brauchen könnten.
René: Ja, mit der DSGVO ist man auch angehalten, periodisch das zu machen. Und: Wieso gibt es Pentester? Das ist etwas, was ich vielleicht unterschlagen hab. Theoretisch könnten sich die Firmen ja selbst testen. Man hat ja Techniker, aber die können ja auch schauen. Das Problem ist aber, wie bei anderen Sachen auch, die sogenannte Peer-Review, die man auch im akademischen Kontext hat, man braucht Leute, die nicht mit diesem Projekt betraut sind um zu schauen, ob da irgendwas ist, was da nicht hingehört. Weil wenn man in der Infrastruktur drin ist, dann weiß man ja, das ist eh so, wie soll es denn sonst sein? Aber man braucht diesen Blick von außen.
Klaudia: Und wenn es irgendwer Interner sagt, dann glaubt’s einem ja auch keine Sau.
René: Eben.
Klaudia: Das kommt ja auch noch dazu.
René: Das haben wir zum Beispiel auch erlebt, dass IT-Abteilungen dankbar sind für unseren Bericht, weil sie jetzt endlich von dritter Seite Argumente haben und nicht immer abgekanzelt werden.
Klaudia: Ja.
René: Da muss man auch der Fairness halber dazu sagen, die meisten Firmen oder Organisationen die das beauftragen, wollen ja auch was verbessern und wollen ja auch kritisch hinterfragt werden. Und der Pentest ist ja auch kein Urteil, sondern eine Hilfe, wie ich meine Infrastruktur verbessern kann. Und genauso soll man das sehen.
Klaudia: Werden das jetzt mittlerweile mehr? Werden die Aufträge für Pentester mehr?
René: Ich kann es nicht sagen, weil ich nur einen eingeschränkten Blick habe über unsere Aufträge, aber ich glaube, unter’m Strich schon. Die Vernetzung nimmt eher zu als ab, das kann man auch an den Nachrichten sehen. Ob ich jetzt das Internet der Dinge hab oder … Ich mein, ich finde ja keinen Ort mehr ohne WLAN. Fast … Wenn die Vernetzung steigt und die Anzahl der Computer, die irgendwo irgendwas tun – ich sag da nur Kühlschrank im Internet.
Klaudia: Oder Kaffeemaschine.
René: Oder Kaffeemaschine … Oder Wasserkocher.
Klaudia: Keine kritische Infrastruktur ans Internet!
René: Die Kaffeemaschine ist kritische Infrastruktur.
Klaudia: Richtig!
René: Oder Autos … Da kann man jetzt lange reden, aber der Bedarf ist da eher größer als kleiner. Ich trau mich zu sagen, dass viele Infrastrukturbetreiber – Firma oder außerhalb – sicher über weniger Geräte wissen, die in den Netzen aktiv sind, als sie tatsächlich haben.
Klaudia: Ja, das glaube ich. Hach ja. Es wird alles noch böse enden.
René: Mögest Du in interessanten Zeiten leben.
Klaudia: Danke. Been there, done that. Again. … Hast Du noch einen guten Tipp für Menschen, die jetzt vielleicht in einer Firma arbeiten und sich denken: “Verdammt, wir könnten hier echt nen Pentest mal brauchen” oder “Ich red mir hier den Mund fusselig, es wäre so schön, wenn mal jemand von dritter Seite das bestätigen könnte, dass wir hier Probleme haben”?
René: Ich bin da Realist. Wenn man in einer Firma anfängt mit “Wir könnten das brauchen”, ist die Frage umformuliert letztlich immer: Wo krieg ich das Budget dafür her? Es muss einen Grund geben, Geld auszugeben. Und das weiß ich auch aus der IT Security. Und das Problem haben auch Versicherungen. Es ist schwer, Leute dazu zu überreden, Geld auszugeben, damit nix passiert. Weil wenn ich Geld ausgebe und es passiert nix, hab ich vielleicht meinen Job richtig gemacht oder Glück gehabt. Das heißt, da seh ich schonmal nicht, was das Geld tut. Und um herauszufinden, ob es jetzt Glück ist oder Können, brauche ich einen Pentest, der wiederum Geld braucht.
Klaudia: Ja?
René: Und das ist der Knackpunkt. Es ist letztlich eine Budgetfrage, die sich schnell beantwortet, wenn was passiert.
Klaudia: Ja gut, aber da weiß man ja oft, wenn auch nicht immer, was tatsächlich passiert ist.
René: Das ist richtig, aber ich hab jetzt zwei Analogien, die allen klar sind, die aber bei der IT-Security versagen. Zum Beispiel das Thema Brandschutz und das Thema Pickerl [Anm.: TÜV Plakette] beim Auto. Es ist jedem Autobesitzer klar, ich muss jedes Jahr mein Auto checken lassen.
Klaudia: Oder in Deutschland alle zwei Jahre.
René: Oder alle zwei Jahre in Deutschland. Das weiß jeder, das macht auch jeder. Und wenn ich irgendwo etwas habe, das vielleicht brennen könnte im Betrieb, muss ich einen Feuerlöscher haben und Brandschutz. Das ist auch jedem klar. Wenn ich IT hab, muss ich IT-Security haben und das ist nicht jedem klar.
Klaudia: Leider nein.
René: Ich hab es ja auch schon erlebt – nichts gegen dynamische Firmen, die gute Ideen haben – aber ich hab auch schon gesehen, dass speziell Webapplikationen oder Apps auf Smartphones die werden in Windeseile zusammengezimmert. Wenn ich das wieder in ein Bild übersetze: Niemand würde mit einem Schiff aus Wellblech und Sperrholz den Atlantik überqueren. Aber die Firmen geben eine App raus, die genauso ausschaut.
Klaudia: Und die ist dann auch noch sechs Jahre im Einsatz.
René: Und die fährt dann auch.
Klaudia: Die Frage ist, wie. Und wohin.
René: Wenn das Wetter gut ist, fährt die auch lang. Aber irgendwann geht das halt schief. Und jetzt wieder im Kontext: Wenn das Dinge sind, die optional sind, kein Thema. Aber wenn dann mal Dinge drüber gehen, die wichtig sind, ganz schwierig. Und das ist mir jetzt ein Anliegen, das haben wir bei einem Pentest gefunden: Viele Leute, die einen Login implementieren, einen Login, ein Passwort, um irgendwo reinzukommen, nehmen als Login die eMailadresse. Das sollte man nicht. Ich weiß, man muss sich dann drei Dinge merken: den Login, seine eigene Mailadresse und ein Passwort. Aber was man dort machen konnte ist: ich registriere mich, gebe eine Mailadresse ein und die Applikation sagt: “Diese Mailadresse ist bereits verwendet.” Das ist ein Informationsleck mit persönlichen Daten, weil ich weiß, dass diese Adresse dort einen Account hat. Bitte an alle Programmierer: eMailadressen nicht verwenden für solche Sachen.
Klaudia: Guter Hinweis.
René: Also, ich wollte das jetzt mal loswerden. Weil das sind so banale Sachen, die haben dann einfach eine Konsequenz.
Klaudia: Das ist ja auch was, wo man an der einen Stelle, wo man selber gerade ist als Programmierer, wo man dann mal drei Schritte weiterdenken sollte/könnte/müsste – was wird denn hinterher noch alles damit gemacht? Bzw. welche Informationen werden darüber preisgegeben.
René: Genau, ja.
Klaudia: Sehr guter Hinweis. Noch irgendwelche gröberen Leichen im Keller, die Du schonmal irgendwo gefunden hast?
René: Naja, grobe Leichen im Keller … Hm … Ja, die typische Ablage. Das war ein interner Test und man findet bei Scans dann den unvermeidlichen Webserver, den sich die Entwickler selbst aufgesetzt haben. Das ist kein Problem, aber der wurde für Backups misbraucht – sehr löblich, aber dort war ein Backup einer Webapplikation drin inklusive Passwort für den Datenbankserver und Login. Das konnte man dann einfach herunterladen und konnte dann zur Datenbank verbinden. Das war gut gemeint, aber … Die Psyche sagt mir: drinnen und draußen. Wenn wir in ein Büro gehen, gehen wir durch eine Tür und sind drin. Und man überträgt diese Metapher auf das Netzwerk. Aber das stimmt nicht.
Klaudia: Mhm.
René: Das geht schief.
Klaudia: Apropos Metapher und drinnen und draußen: Zurück zu den mehrdfach genannten USB Sticks auf Parkplätzen oder sonstwo. Es werden ja jetzt auch an Zeitungsredaktionen Pressemappe und so weiter geschickt. Keine Ahnung, Du machst ein neues Geschäft auf und schickst einfach mal ne Handvoll USB Sticks an diverse Zeitungsredaktionen mit Deiner Pressemappe drauf. Wird ja häudig gemacht, weil ja hochauflösende Fotos, und so weiter und so fort und dann ist alles zusammen und es ist ein hübscher USB Stick oder so … Aus eigener Erfahrung aus Zeitungsredaktionen weiß ich, dass der Großteil dieser USB Sticks a) benutzt wird, natürlich. Weil Du willst ja diese Informationen da runterholen. Und b) fliegen die Dinger hinterher in den Mülleimer, weil sie haben so viele, dass sie schon nicht mehr wissen, wohin damit. Das könnte man vielleicht eleganter lösen. Aber auch nochmal der Hinweis: Wenn man irgendwo USB Sticks findet, um Gottes Willen NICHT EINSTECKEN.
René: Niemals. Nein, nein.
Klaudia: No frickin’ way.
René: Darf man auf keinen Fall machen. Die Dinger sind mittlerweile leistbar, das heißt, ich muss jetzt nicht draußen auf der Straße schauen, ob ich einen finde. Im Zweifelsfall nicht verwenden. Das gilt auch speziell wenn man Nachwuchs hat. Meiner Tochter musste ich da auch einiges erklären. Und das gilt auch – und das ist auch ein wichtiger Punkt, den man vielleicht unterschätzt – ein Kollege von mir hat mich mal gefragt, was er mit den zunehmenden Smartphones macht, weil die Leute wollen die laden. Aber er will nicht, dass die an PCs stecken. Weil ein Smartphone mit einem USB-Kabel lädt am USB-Kabel, aber USB-Kabel sind Datenkabel. Es gibt zwar mittlerweile auch USB-Kabel, die nur Strom transportieren und keine Datenleitungen mehr haben, nur ich hab ihm dann den Tipp gegeben: Du kaufst Dir so USB-HUBs, so Multiplikatoren. Die haben ein eigenes Netzteil. Die tapest Du an die Fensterbank oder verschraubst die dort, die werden an keinen PC angeschlossen, die haben nur Strom und dort sollen die Leute ihre Smartphones laden. Dann kommen sie nicht an die PCs und es gibt keinen Ärger mit Daten oder automatischen Aktionen, die dann ablaufen.
Klaudia: Guter Hinweis: Es gibt ansonsten auch alternativ und etwas mobiler als einen ganzen Hub mitzunehmen …
René: Es gibt auch so Stecker.
Klaudia: Ja genau, diese USB-Kondome.
René: Genau, ja.
Klaudia: Die sind super praktisch. Da hab ich jetzt kürzlich eins geschenkt gekriegt, grandiose Sache. Gab es auch mal als Werbegeschenke von der ISPA glaube ich. Geiles Zeug. Vielleicht können wir da mal welche raussuchen und in die Shownotes tun.
René: Ich kann Dir einen Link schicken, ich hab von der B-Sides Vienna hab ich sowas mal bekommen. Und die gibt es auch. Aber das ist ganz wichtig. Auch Geräte, die mehr tun als nur laden. Und ich weiß nicht, was mittlerweile alles USB hat. Viel zu vieles jedenfalls. Aber nicht an PCs stecken, wenn ich das Ding nicht kenne.
Klaudia: Selbst wenn Du das Ding kennst.
René: Hilft’s auch nix.
Klaudia: Da gab es vor zwei Jahren einen langen Artikel. Es ging eigentlich um die Sicherheit von Atomkraftwerken, also die Software von Atomkraftwerken, wo sie regelmäßig die Malware rauskletzeln weil in Atomkraftwerken die Menschen ihre Smartphones anstecken zum Laden. Gerade Android ist da so eine große Falle, weil Du kannst halt jede Malware im Zweifelsfall als lustiges Spielchen oder was auch immer tarnen. Wie auch immer, mach mir nen lustigen Hintergrund oder keine Ahnung was. Und in diesem Artikel, der eigentlich über die Sicherheit von Atomkraftwarken ging, war ein langer Absatz über btw: Flugzeugsicherheit, wo sie geschrieben haben, dass sie im Wochentakt die Cockpit Software von Andoid Malware befreien, weil Stewardess und so weiter schmeißen alle ihre Telefone zum Laden an die einzig verfügbare USB-Steckdose im ganzen Flugzeug und die ist halt blöderweise eine Wartungsdose im Cockpit. Zwei Fragen: Erstens: Wiesoist überhaupt dieser Wartungsstecker frei zugänglich? Level 1 …
René: Gute Frage.
Klaudia: Level 2: Jede Stewardess oder auch jeder Steward, das ist jetzt nicht geschlechtsspezifisch – die kannst Du rotzbesoffen nachts um halb drei vom Strand von Maui ziehen und die beten Dir noch jede verdammte Sicherheitsrichtlinie in so einem Flugzeug vor und stecken aber selber ihr Drecks-Android-Gerät an diese einzig verfügbare Wartungssteckdose im Cockpit um sie zu laden. Also, da könnte ich mich heute noch drüber aufregen und der Artikel ist zwei Jahre alt. Das ist echt unglaublich.
René: Also das Herz von Pentestern schlägt immer höher, sobald man Interfaces sieht. Buchsen, Stecker und WLAN. Und sobald irgendwas USB hat, leuchten die Augen, weil da muss doch irgendwas gehen. Autos haben das ja mittlerweile auch. Flugzeuge wurden schon gehackt über das Unterhaltungs-Subsystem. Und weil Du gemeint hast, Beispiele … Wir hatte mal in London bei einer Konferenz, dort hab ich einen Workshop besucht: IoT. Also Internet der Dinge hacken Workshop. Und ich dachte schon: Wieso ist das im großen Vortragssaal? Wieso ist das nicht im Seminarraum? Ich komm da rein, seht da ein Gasherd, ein Rover und alles, was man sich vorstellen kann. Und der Workshopleiter hat gesagt: “Alles, was ihr hier sehrt könnt Ihr hemmungslos attackieren.” Er gibt halt ein paar Tipps und der Rangerover ist seiner. Der hat WLAN. Er sagt jetzt mal nicht mehr, weil den Rest finden wir dann beim Hersteller. Und es hat glaub ich keine zehn Minuten gedauert, da gingen schon die Scheibenwischer und das Licht an. Und das ist genau das, was Du sagst: Schnittstellen. Sobald etwas zugänglich ist, wird es auch unbefuten Zugang geben. Das ist so sicher wie dass die Sonne explodiertin fünf Milliarden Jahren. Aber Schnitstellen: Sobald sie offen sind, werden sie verwendet. Und bei Pentests sucht man diese Schnittstellen. Ob das jetzt eine Website ist mit Login oder ein Script, das ich aufrufen kann oder eine USB Buchse, völlig egal. Das ist der Fokus.
Klaudia: Schnittstellen, Schnittstellen, Schnittstellen.
René: Genau.
Klaudia: Und am schlimmsten ist immer die Schnittstelle Mensch.
René: Ja nicht einmal. Am besten sind die Schnittstellen, die nicht mit Menschen reden. Weil wenn jemand eine Schnittstelle designt, die nicht für Menschen gedacht ist, dann macht es wieder Klick im Hirn und dann denkt er sich, na da redet ja eh kein Mensch damit. Falsch.
Klaudia: Es könnte ein Mensch damit reden?
René: Siehe Rover und das Licht geht an.
Klaudia: Gibt es eigentlich Pentester für Autos?
René: Jaja, gibt’s.
Klaudia: Das ist gut.
René: Es gibt auch Leute, die gewechselt haben zur Automobilindustrie, gerade bei Pentestern. Wenn man sich die Fähigkeiten anschaut: Teste alles, was Strom und Netz hat. Das ist ein weites Feld. Da gibt’s natürlich Spezialisierungen. Da gibt es Leute, die sind auf Webapplikationen fokussiert und andere auf Netzwerke. Ich persönlich mag Webapplikationen überhaupt nicht weil ich das Web hasse, aber es hilft mir halt nichts …
Klaudia: Sag mal, warum genau machst Du nochmal so nen Job?
René: Naja, ich hab ja angefangen mit Sicherheitstests von Netzwerken, wo man noch keine Webserver brauchte.
Klaudia: Unlängst …
René: Unlängst. Jetzt hat ja wirklich alles einen Webserver. Bis zur Kaffeemaschine.
Klaudia: Ja …
René: Und da kommt man halt nicht dran vorbei. Oder Fernseher. Aber wie gesagt, da gibt es Spezialisierungen und manche können das besser und manche können das besser. Und das bedeutet aber auch in weiterer Folge: Gute Pentests werden immer von mehr als einer Person durchgeführt, also in einem Team. Und sei es nur kurz der Kollege das und der Rest wieder ich oder umgekehrt. Aber man braucht einfach ein breites Spektrum, um mal zu schauen, was alles möglich ist.
Klaudia: Und was dem einen nicht einfällt, fällt dem anderen vielleicht noch ein …
René: Genau, ja. Oder auch – das ging gerade etwas unter: Manuelle Tests heißt, man muss gelegentlich auch noch etwas programmieren, um es auszuprobieren oder zu testen. Jetzt kann halt nicht jeder gut programmieren. Der hat vielleicht eine Stärke in der Sprache, der in der Sprache … und da hilft man sich dann. Wie gesagt, am besten geht das in Teams.
Klaudia: Ich ärgere mich grad, dass ich nicht gut programmieren kann. Ich glaube, ich hätte da echt Spaß dran.
René: Das Team geht auch bis zum Schreiben. Bei mir bleibt dann meistens der Bericht hängen weil die Kollegen gern Screenshots machen und Notizen … Es ist für jeden was dabei.
Klaudia: Die Folge, die wir schonmal gemacht hatten für einen anderen Podcast, nämlich für den Vienna Writer’s Podcast zum Thema technischen Screiben, die geben wir in die Shownotes. Dann können alle, die sich für Penetration Tests interessieren nochmal nachhören, wie das mit dem technischen Schreiben von der Doku dann funktioniert.
René: Vielleicht ein Tipp für Leute, die sich damit beschäftigen wollen: Ich hab das Problem mit Studenten, die ich in der Masterarbeit betreue, die sich Security ausgesucht haben. IT-Security generell ist schwierig, weil man braucht ein breites Spektrum, man muss mindestens drei verschiedene Tätigkeiten können: Man darf vor’m Programmieren sich nicht scheuen, man muss technisches Verständnis haben, man muss ein bisschen was von Infrastruktur wissen – diese Kombination kann man nicht … mit der kann man nicht starten. Alle, die in der IT-Security landen, haben vorher was anderes gemacht. Oder vorher viele andere Dinge gemacht. Und erst dann geht das. Und Tipp an alle, die sich auf IT-Security spezialisieren wollen: Wenn wer jetzt schon programmiert, ist er nicht falsch, wenn wer technische Dokumente schreibt, ist sie nicht falsch, wenn wer Infrastruktur macht, WLANs, Netzwerke, Switches, ist sie auch nicht falsch. Man braucht aber alles, sonst klappt das nicht.
Klaudia: Das ist ein sehr guter Hinweis. Ich denke, das ist über die Folge auch gut rausgekommen, es hat einfach so unglaublich viele Facetten.
René: Ja.
Klaudia: Wo halt auch Fallen sind. Wenn man am einen Ende arbeitet, hat man das andere Ende gar nicht im Kopf. So wie mit den USB Sticks – ja natürlich schicke ich meine ganze Pressemappe auf einem USB Stick an die Redaktion. Das ist natürlich total easy. Aber Du weißt ja im Zweifelsfall auch nicht, wo sie in der Post zwischendrin langgeht.
René: Da gibt’s eine Geschichte, die ich vielleicht zum Abschluss erklären kann. Und zwar von einem Pentester, sehr kreativ. Der hat zwei Dinge pioniert, Pentests zu machen. Erstens: Drohnen. Wir reden jetzt hier von vor fünf/sechs Jahren, wo er gesagt hat, wenn er einen Industriekomplex oder ein Firmengelände scannt, der Sicherheitsmann kann nicht der Drohne nachlaufen. Also er kann ihr nachlaufen, aber nur zuschauen. Damals. Jetzt gibt’s Drohnenabwehr ja schon. Das heißt, er fliet da mal drüber und scannt. Und der zweite Trick, der ist viel eleganter. Man nehme ein Smartphone in Standby, installiere darauf ein eigenes System, gibt’s ja mittlerweile. Man nehme einen riesigen Akku, eine SIM-Karte und packe alle seine Tools zum Testen drauf. Dann kundschafte man einen Mitarbeiter oder eine Mitarbeiterin aus, die gerade nicht da ist und sicher nicht so schnell wiederkommt, und schickt ein Paket mit diesem Ding dort hin. Die Mitarbeiterin wird nicht da sein, das heißt, das Ding wird entweder in der Poststelle oder auf ihrem Schreibtisch sitzen und ich hab damit aber eine Möglichkeit, über Mobilfunk einen WLAN Scan zu machen, ohne dass ich da bin. Und mit Glück wird das Ding wieder zurückgeschickt.
Klaudia: Ich hörte von etwas Ähnlichem, aber das krieg ich jetzt nicht ordentlich zusammen, es ging aber darum, rauszufinden, wie diese RFID Türöffner funktionieren udn jemand hat sich sowas bestellt und noch während es im Paket war … Ich krieg es jetzt grad nicht zusammen, es war aber eine ganz grandiose Geschichte.
René: Man kann viele Dinge machen, man muss nur kreativ sein. Und das ist halt sehr gemein und da kommen Informationslecks zum Tragen. Ja, es kann ja eh jeder wissen, dass der oder die im Urlaub ist. Nein, falsch. Dann passiert vielleicht genau sowas. Ich weiß es nicht.
Klaudia: Es könnte. Es wäre je nach Firma und so weiter natürlich ein …
René: Pro-Tipp an alle, die Urlaubsbenachrichtigungen konfigurieren oder eMail: Bitte nicht sagen, wer wann genau wo ist und wann er nicht da ist und wann dieser Arbeitsplatz definitiv nicht besetzt ist. Geht eigentlich niemanden was an.
Klaudia: Guter Hinweis. Diese Urlaubsbenachrichtigungen sind ja ohnehin … Sie spammen auch manche Mailingliste zu.
René: Das sind dann aber Systeme, die eigentlich nicht online sein sollten.
Klaudia: Ja.
René: Ich weiß … Aber da können wir dann wiederum einen Podcast drüber machen.
Klaudia: Systeme, die nicht online sein sollten. Ich glaub, da werden wir aber nicht mehr fertig dieses Jahr.
René: Da weiß ich viele.
Klaudia: Alles klar. Ok … Menschen, die jetzt noch viel mehr wissen wollen. Ich denke, wir können ein paar Sachen in die Shownotes packen.
René: Da kann ich ein paar Sachen zum Besten geben zum Einsteigen.
Klaudia: Super. Und es gibt Vorträge aus ähnlichen Bereichen u.a. den, den ich jetzt nicht zusammen gekriegt habe, also das schöne Beispiel mit der RFID …
René: Ich kann vielleicht den mit der Post und der Drohne verlinken, ich glaube, der ist online.
Klaudia: Das ist super. Der mit RFID nämlich, was ich gerade meinte, war glaube ich ein Talk auf der PrivacyWeek, den wir nicht aufgezeichnet und nicht gestreamt haben – aus Gründen!
René: Naja, meine Güte! Die Tür war offen …
Klaudia: Genau. Da weiß ich aber, wen ich noch fragen kann. Aber es gibt ja nicht nur die PrivacyWeek, es gibt ja auch noch ganz andere ganz coole Veranstaltungen, unter anderem die DeepSec, die Du organisierst.
René: Ja genau, die ist immer im November. Dieses Mal Ende – also 27. bis 30.. Da gibt’s auch sehr viel zum Thema Pentests und es sind auch Pentester anwesend. Wir haben dem Hotel mittlerweile die Angst genommen.
Klaudia: Achso, ich dachte, die Infrastruktur.
René: Nein, nein. Es funktioniert gut.
Klaudia: Also wenn man da hinkommt, vielleicht also sämtliche Verbindungen, die dieeigenen Geräte vielleicht noch offen haben könnten, vorher noch abdrehen …
René: Der Chaos Computer Club hat immer tolle Hinweise. Da gibt es jedes Jahr diese Congress Warnungen: Wie soll ich mich konfigurieren, um meine Geräte zum Congress … Können wir vielleicht auch verlinken.
Klaudia: Da gibt es ja auch immer ich glaub die letzte Cryptoparty vor’m Congress zumindest hier in Wien aber sicher auch in anderen Städten, ist ja immer zum Thema das eigene Gerät bzw die eigenen Geräte Congress-sicher machen. Da gibt’s glaub ich auch ganz viele Ressourcen. Guter Hinweis. Also nicht nur zum Congress sicher machen, sondern auch wenn man auf die Einkaufsstraße geht …
René: Generell auf Reisen.
Klaudia: Hotel-WLANs, ganz gefährlich. Oh ja. … René, ganz herzlichen Dank.
René: Bitte.
Klaudia: Und dann: Bis zum nächsten Mal.
René: Gut, ciao.
Klaudia: Ciao.

***
Wenn Du mich unterstützen möchtest:
-> zur Spendenseite


Mitwirkende

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.