Rückblick Pen Test Berlin 2015: Penetrationstests für kritische Infrastrukturen

Gedanken zum Aufbau eines neuen Internets nach dem „globalen Shutdown“

[datensicherheit.de, 16.07.2015] In diesem Jahr fanden rund 100 Security-Experten und Pentester zum dritten Mal im Rahmen der Pen Test Berlin 2015, den Weg an die Spreemetropole, um sich in fünf verschiedenen Kursen Wissen rund um das Thema Penetrationstests anzueignen. In diesem Jahr lag vom 22. bis 27. Juni der Fokus durch die Entwicklungen in den letzten Jahren vor allem auf den durch Heartbleed oder Shellshock hinterlassenen

Unsicherheiten in IT-Systemen, die viele Teilnehmer dazu bewogen haben, sich am SANS Institut im Bereich Penetrationstests weiterzubilden. Fünf international renommierte Trainer vermittelten in fünf verschiedenen Tracks unterschiedlicher Schwierigkeitsstufen von Web App-, Network- und Wireless-Penetration-Testing über Ethical Hacking bis hin zu Exploit Writing die neuesten Angriffstechniken und den Umgang mit speziellen Tools. Zwischen den Trainings im Radisson Blu Hotel forderten die SANS-Mitarbeiter die Anwesenden zu sogenannten Challenges heraus, die in den Stufen leicht, mittel und schwer über eine spezielle Seite freigeschaltet wurden. Wer schnell genug war und die Lösung „erhackte“,  konnte sich in den Stufen mittel und schwer sogar über einen Preis freuen, der ihm am Ende der Woche zusammen mit der Urkunde für das Bestehen des Kurses verliehen wurde.

Entwickler und Pentester sollten wie Hacker denken

An den Abenden nach den Trainings standen dieses Jahr gleich sechs SANS@Night Talks an, die über die Kurse hinaus Einblick in die Arbeitspraxis von Pentestern und Securityexperten gab. Den Anfang machte am Montag James Shewmaker mit seinem Vortrag, wie Pen Tester das offizielle Managementtool von Windows namens PowerShell für ihre Zwecke nutzen können. Er zeigte auf, wie sich die Tools Veil-PowerView, Nishang und Magic Unicorn zur Manipulation von Firewall Konfigurationen und zur Erweiterung von User-Rechten nutzen lassen.

Am Dienstag demonstrierte dann Jose Selvi, wie man die HTTP Strict Transport Security (HSTS) umgeht und SSL-Strip Attacken durchführt, gegen die der Webseiten-Policy-Mechanismus eigentlich schützen soll. Der Vorführung folgten eine Gegenüberstellung der Stärken und Schwächen von HSTS sowie eine Demonstration, wie sich die Schwächen ausnutzen lassen.

Foto: Ralf Reinhardt

Ralf Reinhardt

Für die vielen Interessierten konnte Ralf Reinhardt mit seinem Vortrag am Dienstag aufzeigen, wie einfach Web Applikationen und Web Services mit Hilfe von SQL-Injection basierten Attacken ausgehebelt werden können. „Viel zu viele Web-Services und Web-Applikationen im Internet sind nicht gut genug gesichert. Entwickler sind heutzutage so sehr unter Zeitdruck, dass der Einbau von Sicherheitsmaßnahmen von vielen vernachlässigt wird. Oft fehlen auch die Kenntnisse und die Perspektive, die ein Hacker einnimmt, um die eigene Entwicklung vor fremden Zugriffsversuchen abzusichern“, erläutert Reinhardt. Manuel Schönthaler, Direktor Deutschland beim SANS Institut fügt hinzu: „Security-by-Design im Entwicklungsprozess wird leider kaum umgesetzt, deshalb ist es so wichtig, dass anschließend wenigstens Penetrationstests durchgeführt werden, um enthaltene Schwachstellen aufzudecken, bevor es die tun, die damit Schaden anrichten wollen.“

Modbus und Zombie-Apokalypse

In dem Vortrag „Playing with SCADA’s Modbus Protocol“ spannte Trainer Justin Searle den Bogen von Penetrationstests für Webseiten und Anwendungen hin zu Industriesteuerungen. Am Donnerstagabend führte er vor, wie sich das SCADA-Protokoll Modbus für eine Kompromittierung von Industriesteuerungen missbrauchen lässt. In einem Praxisversuch konnte er sogar die Kontrolle über eine simulierte Steuerung übernehmen. Wer seinen Versuch nachahmen will, kann dies mit der aktuellen Version von SamuraiSTFU in einer VMware-Umgebung ausprobieren.

Was passiert, wenn die kritischen Infrastrukturen versagen und das Internet zusammenbricht, darüber machte sich dann Trainer Larry Pesce im Vortrag „Hacking Survival: So you want to compute post-apocalypse?“ seine Gedanken. Für den Fall eines globalen Shutdowns, beispielweise verursacht durch einen EMP, schlägt er vor, nicht nur in einem Hobbykeller vorzusorgen und die obligatorischen Vorräte anzulegen, sondern auch Unmengen an Radios und Routern vorzuhalten. Er brachte darüber hinaus auch die Idee auf, mit IP-über-Morsecode zu kommunizieren, um den Austausch von Informationen und die Kommunikation über den eigenen Häuserblock hinaus aufrechtzuerhalten. Der Schlüssel zum Erfolg sei seiner Ansicht nach die Routine, also sich immer wieder Szenarien auszudenken, um im Falle eines Falles vorbereitet zu sein und schnell reagieren zu können.

Der letzte Vortrag am Freitag führte den Anwesenden schließlich vor Augen, wie verwundbar Bankautomaten sein können. Mit Hilfe verschiedenster im Darknet auffindbarer Code-Schnipsel und Tools lassen sich die Sicherheitseinstellungen vieler dieser stationären Geldausgabegeräte kompromittieren und dazu bringen, geradezu mit Geld um sich zu werfen. Natürlich zeigte Trainer Erik van Buggenhout auch auf, wie sich Filialbetreiber und Automatenhersteller vor solchen Angriffen schützen und künftig für mehr Sicherheit sorgen können.

Fazit

Die Trainings, die am Samstag mit einem Capture-the-Flag-Contest abgeschlossen wurden, waren wieder ein bunter Mix aus Theorie und Praxis, bei denen die Kenntnisse der Teilnehmer auch in kleinen Übungen über den gesamten Kursverlauf hinweg weiter vertieft wurden. Veranstalter Manuel Schönthaler zeigte sich dann auch zufrieden mit dem Feedback: „Die Hauptstadt ist immer eine Reise wert und mit diesem spezialisierten Event einmal im Jahr treffen wir einen Nerv, deshalb werden wir auch 2016 wieder mit unserem Pen-Test-Event in die nächste Runde gehen. Unsere international gefragten Trainer schaffen es immer wieder die richtige Balance zwischen Frontalunterricht, fachlichem Austausch und Hands-On-Übungen zu finden. Das Feedback zur Veranstaltung fiel dementsprechend auch wieder durchweg positiv aus. Das SANS Institut will in Deutschland weiter wachsen und deshalb haben wir uns für nächstes Jahr nicht nur eine Neuauflage des Berlin-Events vorgenommen, sondern werden auch zwei weitere Events, ein zusätzliches in München und ein neues in Frankfurt ausrichten.“

Wer sich jetzt schon darüber informieren möchte, der findet unter www.sans.org/de Informationen zum nächsten lokal stattfindenden Event.