Einbruch aus gutem Grund

Nicht alle Hacker, die Unternehmen angreifen, sind Bösewichte; einige werden dafür von ihrem Ziel bezahlt. Bei einem als Penetrationstest bekannten Dienst versucht eine Sicherheitsfirma, auf die Systeme eines Kunden zuzugreifen oder diese zu kontrollieren, um Schwachstellen aufzudecken, die von einem echten Angreifer ausgenutzt werden könnten.

Suche nach Ärger: Brian Holyfield, Mitbegründer von Gotham Digital

Bestimmte Arten von Unternehmen sind gesetzlich verpflichtet, sich Penetrationstests zu unterziehen, aber viele andere entscheiden sich auch dafür, sagt Brian Holyfield, Mitbegründer von Gotham Digital Science , ein Unternehmen mit Sitz in New York, das sich auf diesen Service spezialisiert hat. Holyfield sagte Tom Simonite, Technologieüberprüfung , IT-Redakteur für Hard- und Software, dass Gotham bei einigen großen Aufträgen drei seiner Hacker wochenlang gegen ein Unternehmen einsetzt.



KINDER : Warum werden Penetrationstests benötigt? Könnten Sie einem Unternehmen nicht einfach sagen, nach welchen Schwachstellen ein Angreifer suchen würde?

Holyfield: Wir suchen nicht nach Standard-Schwachstellen. Die meiste Zeit suchen wir nach Schwachstellen auf Codeebene in benutzerdefinierten Anwendungen. Jeder hat jetzt Web-Apps, und die Realität ist, dass die Firewall wenig tut, um sie zu schützen.

Mit welchen Unternehmen arbeiten Sie zusammen?

Wir arbeiten hauptsächlich mit Banken und Finanzen, Gesundheitswesen und Softwareanbietern zusammen. Von allen Websites und Systemen, die Kreditkarten akzeptieren, wird erwartet, dass sie Tests durchführen, wenn sie mehr als eine bestimmte Anzahl von Transaktionen pro Jahr durchführen. Aber viele Unternehmen sind dazu nicht gezwungen. Der größte Markt, den wir bedienen, sind Unternehmen, die Software as a Service anbieten. Sie werden von Kunden gefragt, was sie tun, um die Sicherheit zu gewährleisten.

Haben Kunden Angst davor, sich freiwillig zu gehackt zu haben?

Wenn jemand das zum ersten Mal durchmacht, herrscht ein gewisses Maß an Nervosität und sogar Paranoia. Wir müssen daran arbeiten, sie dazu zu bringen, ihr Ego beiseite zu legen und zu verstehen, dass es keine Wir-gegen-sie-Übung ist; Wir versuchen nicht, jemanden schlecht aussehen zu lassen. Wenn ein Pen-Test vorbei ist, sind die Kunden im Allgemeinen froh, dass wir das Problem vor dem Bösewicht gefunden haben.

Was ist ein gutes Beispiel für Schwachstellen, die Sie gefunden haben?

Bei einer kürzlich durchgeführten Aktion haben wir eine Marketing-Website eines großen Finanzinstituts kompromittiert, die auf einem ungepatchten Webserver lief. Dieser Server wurde als Sprungpunkt verwendet, um die Firewall zu durchqueren und Verbindungen zu Systemen in ihrem internen Netzwerk herzustellen.

Wir haben festgestellt, dass eines der Konten [von] dem Webserver (wir hatten das Passwort geknackt) auch ein Administrator im Tresor war, der die Passwörter aller für dieses Netzwerk speichert. Wir könnten uns als jedermann anmelden. Eine gute Lektion hier ist, dass nur weil ein System nicht kritisch ist, der Server nicht aus Sicherheitsaspekten abgeschrieben werden kann. Sobald Sie Zugriff auf die Perimeterbox haben, haben Sie normalerweise viel mehr Möglichkeiten, wichtigere Systeme anzugreifen, da Sie sich jetzt hinter der Firewall befinden. Die andere Lektion ist, wie wichtig es ist, nicht dasselbe Passwort auf verschiedenen Systemen zu verwenden.

Was präsentieren Sie dem Kunden, nachdem Ihr Angriff beendet ist?

Wir haben immer einen schriftlichen Bericht und Schritt-für-Schritt-Screenshots und Anweisungen, die wir einem Entwickler übergeben können und sagen: So machen Sie es. Nach dem Penetrationstest schaffen wir einen Mehrwert, indem wir deutlich machen, was genau zu tun ist. Das ist vergleichbar mit einem klassischen Security-Audit, das tendenziell stark in Richtung Best Practice gewichtet wird.

Unterscheiden sich die Leute, die das für die Guten tun, von den Bösen?

Es erfordert nicht nur spezielle Fähigkeiten, sondern auch einen bestimmten Typ von Person. Es ist nicht so, dass die Leute ihren Job gut machen, sondern ihr Hobby ist, was sie leben und atmen. Sie haben den Wunsch, nicht nur herauszufinden, wie etwas funktioniert, sondern auch herauszufinden, wie man etwas [für einen Zweck] nutzt, für den es nicht bestimmt war.

Es ist ein schmaler Grat zwischen jemandem mit dieser Leidenschaft nur aus Interesse und Wissen und jemandem, der Schaden anrichtet oder versucht, Geld zu verdienen. Wenn wir nach Talenten suchen, ist ein Teil unseres Rekrutierungsprozesses eine sehr strenge Überprüfung des Hintergrunds, um nach einer dunklen Seite zu suchen. Es gab viele Fälle, in denen wir sehr talentierte Leute kennen, die wir einfach nicht einstellen können.

Werden Penetrationstests immer häufiger?

Ja, es wird immer mehr Mainstream. Ein Zeichen dafür ist, dass es für Leute immer einfacher wird, die Erlaubnis ihres Internet-Service-Providers einzuholen, der es wissen muss, damit sie verstehen, dass es sich nicht um einen echten Angriff handelt. Heute machen es Infrastrukturunternehmen wie Amazon ganz einfach. Wenn Sie in der Cloud von Amazon gehostet werden, ist die Erlaubnis für einen Penetrationstest so einfach wie das Ausfüllen eines einfachen webbasierten Formulars.

Könnten Penetrationstests Sony auf die jüngsten Angriffe vorbereitet haben, bei denen Benutzerdaten gestohlen wurden?

Ein Penetrationstest konzentriert sich normalerweise auf die Haustür, aber es gibt eine Menge Fenster. Ich denke, Sony wurde tatsächlich gezielt ins Visier genommen. Social Engineering und Spear-Phishing [das Erstellen von Nachrichten, um eine bestimmte Person dazu zu bringen, sensible Daten preiszugeben] könnten gegen Personen mit Zugriff auf die Daten eingesetzt worden sein. Das Testen von Social-Engineering-Angriffen ist eine Option für einen Pen-Test, aber die meisten Leute entscheiden sich nicht dafür. Sie kennen die Risiken bereits.

verbergen