Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 2

Im ersten Teil der Blogartikelserie ging es um die Gefühlszustände von Angreifern, die sie in verschiedenen Phasen des Angriffs durchleiden (Pyramid of Pain). Ziel des Verteidigers war es, Hacker im besten Fall so massiv zu demotivieren, dass sie den Versuch, Kontrolle über Ihre Systeme zu erlangen, abbrechen.

Teil 2: Der Verteidiger – Pyramid of Love

Diesmal wird ein Cyberangriff von der Verteidigerseite aus betrachtet. Dabei steht wieder der Faktor Mensch im Vordergrund. Aufgabe eines jeden Verteidigers sollte es sein, Schutzmaßnahmen effizient umzusetzen, die den Mitarbeiter abholen und sich nahtlos in deren tägliche Prozesse integrieren. Die Realität ist, dass egal wie viel Sie in ihre Cybersicherheit investieren, vom Unsicherheitsfaktor Mensch, können Sie sich nicht freikaufen. Die gute Nachricht ist, dass da, wo die schwer kontrollierbare Gefahr lauert, gleichzeitig […]

Von Sebastian Hofmann|2024-01-15T08:17:47+01:002. August 2023|

Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 1

NSIDE Attack Logic war mit einem Vortrag vertreten bei der 25. DuD-Konferenz in Berlin. Dort trafen sich vom 12. bis zum 14. Juni 2023 Datenschutzbeauftragte, Anwälte und IT-Sicherheitsverantwortliche zum Gedanken- und Erfahrungsaustausch. Beherrschendes Thema war künstliche Intelligenz (KI) und die damit verbundenen Risiken. Aber auch Cybersecurity kam nicht zu kurz. Zitiert man die Veranstalter, so wurde klargestellt, dass IT-Sicherheit ebenfalls Datenschutz sei. Deshalb gab es dazu mehrere spannende Vorträge und wir hatten den Eindruck, dass es das am häufigsten diskutierte Thema auf den gelungenen Abendveranstaltungen war.

Rechtliche Themen und technische Herausforderungen greifen häufig ineinander. Ich heiße Sebastian Hofmann und bin seit März 2023 als Security Analyst bei NSIDE Attack Logic tätig. Mein Background für diesen Job ist recht ungewöhnlich, da ich über keine technische Ausbildung oder […]

Von Sebastian Hofmann|2024-03-16T09:41:11+01:0010. Juli 2023|

Wie kann ich es den Angreifern möglichst schwer machen?

Zunächst muss gesagt werden, dass es 100%ige Sicherheit nicht gibt. Nichtsdestotrotz kann ein Verteidiger es potenziellen Angreifern so schwer machen, dass der Aufwand für einen erfolgreichen Angriff den zu erwartenden Gewinn übersteigt. In diesem Blogpost möchte ich auf eben diese Möglichkeiten eingehen und aus einer Angreifer Perspektive genauer beleuchten, warum sich der (potenzielle hohe) Aufwand lohnt, diese umzusetzen.

Was bereits im Mittelalter funktioniert hat, kann ja nicht schlecht sein…

Wie eben bereits angesprochen, sollte das Ziel als Verteidiger sein, es einem Angreifer so schwer wie möglich zu machen. Hierbei hat sich die letzten Jahre ein Konzept namens Defense in Depth durchgesetzt. Eine schöne Analogie für Defense in Depth ist eine Ritterburg. Hier wurde auch nicht nur auf eine Verteidigungslinie gesetzt, sondern in Schichten gearbeitet. So folgte auf […]

Von Tobias Wicke|2023-07-13T12:11:10+02:003. Juli 2023|

Meet a Pentester – Interview mit Bernhard Doll

Hallo Bernhard, schön, dass du dir die Zeit genommen hast. Stell dich gerne zu Beginn kurz vor – Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?

Ich arbeite seit März 2018 in der IT-Sicherheit, bin seit Januar 2021 bei der NSIDE und arbeite dort aktuell als Senior IT Security Analyst. Meine Haupttätigkeit ist dabei die Leitung und Durchführung professioneller Angriffssimulationen wie Red Team Assessments, IT-Sicherheitstests wie Penetrationstests und Lateral Movement Tests auf Netzwerke und IKT-Systeme verschiedenster Technologien, sowie konzeptionelle IT Security Beratung von Unternehmen unterschiedlichster Größen und Branchen vor Ort und Remote.

Was sind nach deiner Erfahrung als Pentester die häufigsten Fehler, die Unternehmen machen?

Die häufigsten Fehler beobachte ich vor allem in drei Bereichen: Konfiguration, Einsatz unsicherer Software (entweder aufgrund unsicherer […]

Von NSIDE|2023-07-13T11:53:25+02:0023. Juni 2023|

Meet a Pentester – Interview mit Benedikt Strobl

Unser langjähriger Mitarbeiter Benedikt Strobl wird Ende des Monats ein fünfmonatiges Sabbatical antreten. Bevor er sich auf die Reise macht, hat er sich die Zeit für ein kurzes Interview genommen und die wichtigsten Fragen zum Thema Penetrationstests und zu seiner Arbeit als Pentester beantwortet. Wir wünschen viel Spaß beim Lesen und Benedikt eine tolle und abenteuerreiche Zeit!

Hallo Bene, wir starten am besten mit einer kurzen Vorstellung: Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?

Meine Name ist Benedikt Strobl, ich bin 31 Jahre alt und arbeite seit 6 Jahren bei der NSIDE als Security Analyst. Meine ersten Berührpunkte mit der IT Security hatte ich im Rahmen meines Studiums und bei CTFs. Meine Schwerpunkte haben sich dabei über die Jahre etwas […]

Von NSIDE|2023-03-23T08:32:28+01:0022. März 2023|

Cobalt Strike und sein besserer kleiner Bruder Brute Ratel

Vielen ist Cobalt Strike mittlerweile ein Begriff. Sei es, weil mal wieder eine Ransomware-Gruppe damit ganze Unternehmen lahmgelegt hat oder weil Akteure gezielt Unternehmen angegriffen haben und in der anschließenden Analyse festgestellt wurde, dass Cobalt Strike im Einsatz war. Der ein oder andere hat vielleicht auch mitbekommen, dass ein anderes Tool namens Brute Ratel in letzter Zeit Wellen geschlagen hat. Doch warum ist das so?

Was sind Command&Control-Frameworks?

Bevor wir auf die Einzelheiten und Unterschiede eingehen, sollte zumindest grundlegend geklärt werden, was der allgemeine Einsatzzweck von Tools wie Cobalt Strike oder Brute Ratel ist. Beide Tools sind sogenannte Command&Control-Frameworks. Command&Control-Frameworks werden von Penetrationstestern und Red Teamern verwendet, um möglichst realistisch „echte“ Malware zu simulieren (wobei sie darin so gut sind, dass sie in den Händen von […]

Von Tobias Wicke|2024-03-16T09:41:09+01:0021. März 2023|

Bluetooth Low Energy Hacking für Anfänger

Nachdem ich mich nun schon einige Zeit mit dem Thema Bluetooth Low Energy (BLE) Hacking beschäftige, kommt eine Frage immer wieder auf: Wie fange ich damit an?

Nun – man könnte sicherlich beginnen, die über 3000 Seiten lange Spezifikation (aktuell Version 5.3) zu lesen, welche durch die Bluetooth Special Interest Group veröffentlicht wird. Allerdings ist hier die gesamte Spezifikation sowohl für Bluetooth Classic als auch für jede einzelne Protokollschicht enthalten. Das ist äußerst umfangreich und daher selbst für erfahrene ITler ein eher unkonstruktives Vorgehen. Wie also dann? Einmal durch die Internet Blogs der letzten 10 Jahre wühlen?

Meiner Erfahrung nach empfiehlt es sich, direkt Hand anzulegen und sich die Sache Stück für Stück in der Praxis anzusehen. Dabei entwickeln sich spezifischere Fragen und Stichworte, mit denen […]

Von Sarah Mader|2023-03-08T09:47:00+01:0022. Dezember 2022|

Fuzzing: Putting it all together (Teil 4/4)

Im ersten Teil der Blogserie haben wir bereits erläutert, was die grundsätzliche Zielsetzung von Fuzzing ist, welche Qualitätsunterschiede hinsichtlich der Abdeckung möglich sind und auf welche Einschränkungen und Hürden wir in unseren Assessments oft stoßen. Im zweiten Teil wurde der Fuzzer Boofuzz vorgestellt und die Anforderungen für einfache erschöpfende Tests erklärt. Der dritte Artikel widmete sich einem konkreten Gerät, wie Boofuzz zum Fuzzen und automatisierten Detektieren von Schwachstellen von Embedded-Webservern verwendet werden kann. Dieser Artikel beschreibt nun die Umsetzung der im dritten Artikel gelösten Problemstellungen und die finale Implementierung.

Im dritten Artikel wurden drei Problemstellungen gelöst, diese werden nun als Funktion in Python abgebildet.

1. Funktion: Starten des Webservers über die Telnet-Schnittstelle

s ist hierbei ein üblicher python socket. Die Funktion until() ist eine […]

Von Martin Steil|2022-06-20T15:15:23+02:0020. Juni 2022|

Fuzzing: Rückkanal (Teil 3/4)

Im ersten Teil der Blogserie haben wir bereits erläutert, was die grundsätzliche Zielsetzung von Fuzzing ist, welche Qualitätsunterschiede hinsichtlich der Abdeckung möglich sind und auf welche Einschränkungen und Hürden wir in unseren Assessments oft stoßen. Im zweiten Teil wurde der Fuzzer Boofuzz vorgestellt und die Anforderungen für einfache erschöpfende Tests erklärt. Dieser Artikel widmet sich nun einem Implementierungsansatz, wie Boofuzz zum Fuzzen und automatisierten Detektieren von Schwachstellen von Embedded-Webservern verwendet werden kann.

Da wir in der Regel im Namen von Herstellern Geräte testen, können wir bereits auf Entwicklergeräte zurückgreifen, die Zugriff auf Shell-Ebene zulassen. Normalerweise sind solche Entwicklerschnittstellen durch SSH-Server oder UART ausgeführt. Angreifer müssten für dieses Level an Zugriff bereits Schwachstellen ausnutzen oder auf (im Falle von UART) unsichere oder vergessene Entwicklerschnittstellen […]

Von Martin Steil|2022-06-13T11:36:02+02:009. Juni 2022|

Fuzzing-Tool: Boofuzz (Teil 2/4)

Im ersten Teil der Blogserie wurde bereits erläutert, was die grundsätzliche Zielsetzung von Fuzzing ist, welche Qualitätsunterschiede hinsichtlich der Abdeckung möglich sind und auf welche Einschränkungen und Hürden wir in unseren Assessments oft stoßen. Das Ziel dieses Artikels ist es, den Fuzzer Boofuzz vorzustellen, der auf dem „Sulley Fuzzing Framework“ aufbaut und viele Möglichkeiten für Gray-Box-Ansätze bietet, wie wir sie oft in unseren Analysen vorfinden.

Vor allem die folgenden vier Eigenschaften machen den Fuzzer zu einem mächtigen Werkzeug:

Die Fuzzing-Eingaben werden automatisch generiert. Pro Parameter werden hier tausende Eingaben versucht (die teilweise auf dem korrekten Wert des untersuchten Parameters beruhen). Wenn man dies mit der manuellen Suche nach sinnvollen Fuzzing-Eingaben vergleicht, ist hier eine weitaus größere Abdeckung möglich.
Es werden verschiedene […]

Von Martin Steil|2022-03-18T10:06:55+01:0018. März 2022|

Allgemein

BLEIBEN SIE AUF DEM LAUFENDEN