Unser langjähriger Mitarbeiter Benedikt Strobl wird Ende des Monats ein fünfmonatiges Sabbatical antreten. Bevor er sich auf die Reise macht, hat er sich die Zeit für ein kurzes Interview genommen und die wichtigsten Fragen zum Thema Penetrationstests und zu seiner Arbeit als Pentester beantwortet. Wir wünschen viel Spaß beim Lesen und Benedikt eine tolle und abenteuerreiche Zeit!
Hallo Bene, wir starten am besten mit einer kurzen Vorstellung: Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?
Meine Name ist Benedikt Strobl, ich bin 31 Jahre alt und arbeite seit 6 Jahren bei der NSIDE als Security Analyst. Meine ersten Berührpunkte mit der IT Security hatte ich im Rahmen meines Studiums und bei CTFs. Meine Schwerpunkte haben sich dabei über die Jahre etwas verändert: Mein erstes Interessensfeld war im und nach dem Studium vor allem die Web-Sicherheit. Da ich bereits vor meiner Festanstellung bei der NSIDE als Werkstudent bei der Entwicklung des in-house Phishing-Frameworks „nphish“ beteiligt war, war auch früh Phishing ein Kernbereich für mich. Seitdem ich als Analyst arbeite ist durch den entsprechenden Fokus der NSIDE auch meine Faszination für Red Teaming Assessments entstanden und dank der Weiterentwicklungsmöglichkeiten in der NSIDE habe ich mich dann schnell in Richtung Windows Active Directory und interne Netzwerke fokussiert. Zuletzt bin ich auch dem unumgehbaren Trend gefolgt und habe mich vor ca. 4 Jahren erstmals in die Sicherheit bei Microsoft Azure und Office 365 eingearbeitet. Diese Schwerpunkte habe ich allesamt in den letzten Jahren noch durch eine Vielzahl an Red Team Assessments vertieft.
Wann sollten Unternehmen einen Pentest durchführen lassen und wie oft sollte dies wiederholt werden?
Warum man einen Pentest macht, kann verschiedene Gründe haben. Der wichtigste ist natürlich, dass man die Sicherheit der Firma bzw. einzelner Anwendungen prüfen lassen möchte, um zu schauen, „wie man dasteht“. Ein anderer häufiger Grund ist aber tatsächlich auch, dass IT-Verantwortliche ihrem Management klar machen wollen, dass Handlungsbedarf besteht und dies extern bestätigen lassen. Im Angesicht von Ransomware & Co ist aus meiner Sicht unsere „Lateral Movement Simulation“ der vermutlich sinnvollste Pentest, um einen Überblick über die eigene IT Security zu bekommen: Hier simuliert ein Pentester die Effekte die eine Infektion eines Mitarbeiters mit Schadsoftware auf das Unternehmen hätte. Aufgrund der sich ständig ändernden IT (Security)-Welt sollte eine solche Analyse idealerweise alle 1-2 Jahre wiederholt werden.
Die andere Seite der Pentest-Medaille sind Produkttests: Bietet man Kunden ein Produkt an, oder nutzt intern eine Eigenentwicklung für die Verarbeitung von geschäftskritischen Daten, sollte diese einem Anwendungspentest unterzogen werden. Dabei wird analysiert, ob die Anwendung Sicherheitslücken enthält. Die Erfahrung lehrt hier, dass bei aktiv entwickelten Anwendungen bei jedem Major-Release, oder, im Falle agileren Release-Ansätzen, regelmäßig nach größeren Funktionsänderungen bzw. -ergänzungen, ein Pentest durchgeführt werden sollte. Meist kann hier auch mit Delta-Analysen gearbeitet werden, um Kosten und Zeit zu sparen.
Was sind nach deiner Erfahrung als Pentester die häufigsten Fehler, die Unternehmen machen?
Ganz grundsätzlich ist der häufigste Fehler vermutlich zu unterschätzen wie wichtig Pentests sind. Die eigene IT mag gut sein und man hat sicher auch Leute, die sich gut mit dem Thema Sicherheit auskennen, – aber die IT Sicherheit ist komplex und verändert sich schnell und selbst als Pentester kann man nur in ausgewählten Spezialgebieten auf dem aktuellsten Stand sein – niemand kann erwarten, dass operativ arbeitende IT Mitarbeiter hier den vollen Durchblick haben.
Als konkreteres Beispiel lässt sich hier vor allem das Thema „Active Directory Certificate Services“ anführen. Ein Dienst der im Active Directory angeboten wird und weit verbreitet genutzt wird. 2021 wurden durch Forscher von SpectreOps eine Reihe von typischen Konfigurationsfehlern und deren (sehr massive) Auswirkungen auf die interne Sicherheit in Windows Netzen veröffentlicht. Bis heute finden wir regelmäßig Fehlkonfigurationen in internen Netzwerken, die in dem Whitepaper beschrieben werden und direkt zur Übernahme der gesamten Domäne führen. Aber genau so etwas zu kennen, zu verstehen und die Auswirkung für das Unternehmen zu erarbeiten, kann man nicht von regulärem IT Betrieb erwarten.
Was war dein schwerwiegendstes Finding?
Das schwerwiegendste Finding in meiner Laufbahn war vermutlich eine unauthentifizierte Remote Code Execution in der im Internet exponierten Schnittstelle zur Steuerung einer Türsteueranlage. Die Schnittstelle für die mobilen Anwendungen erlaubte (über mehrere Schritte hinweg) die komplette Übernahme des Systems. Als Folge wäre es möglich gewesen, jede Tür, die mit dem System des Herstellers gesichert war, ohne weiteres Vorwissen aus dem Internet öffnen zu können.
Gab es auch ein Finding, was besonders überraschend war?
Besonders überraschend (und „spaßig“) sind in der Regel Verkettungen von Schwachstellen: In einem Fall hatte ich während des Tests einer Webseite zum Schluss die gesamten internen Domänen der Firma kompromittiert. Die Webseite erlaubte das Starten von (eigentlich fest definierten) Jobs auf einem internen Jenkins-Server. Ich konnte aus diesen Einschränkungen „ausbrechen“ und so beliebige Jobs mit dem Jenkins verändern und starten. Da manche Jobs mit höheren Rechten liefen, war es darüber möglich einen internen Server im Netzwerk zu übernehmen. Dort gab es dann eine weitere Schwachstelle mit der letztendlich die Domäne übernommen werden konnte.
Was würdest Du jemanden empfehlen, der Pentester werden möchte?
Grundsätzlich ist als Pentester besonders die Begeisterung am Schwachstellen Finden wichtig. Technische Grundlagen sind natürlich notwendig, um sich in Themen einzuarbeiten, aber ob die während einer Ausbildung, einem Studium oder in Eigenregie erlernt wurden, ist für einen Pentester nicht relevant. Als Einstieg empfehle ich Webseiten, die Hacking-Aufgaben kostenlos oder für wenig Geld zur Verfügung stellen: Hack the Box, Hacking Lab oder Try Hack Me sind Beispiele dafür. An Universitäten oder lokalen Security Treffen (z.B.) gibt es häufig „Capture the Flag“-Teams, bei denen man zusammen, meist in Quiz-Form oder auch gegen andere Teams, „hackt“. Hier kann man einen Geschmack für das Thema entwickeln oder sich vielleicht bereits mit einem Thema besonders intensiv auseinandersetzen.
Worauf freust du dich in deinem anstehenden Sabbatical am meisten?
Besonders freue ich mich darauf etwas „komplett anderes“ zu erleben. Statt wie im Urlaub 1-2 Wochen ein paar wenige Orte und Eindrücke mitzunehmen, kann ich in der längeren Zeit wirklich ein Gefühl für die Länder, Kulturen und die Menschen dort entwickeln. Ich glaube, dass mich das persönlich weiterentwickeln und meinen Blick auf die Welt verändern wird. Davon abgesehen natürlich auf 5 Monate den Kopf frei bekommen, nur das machen worauf ich Lust habe und entspannen :)