mod-IT-Hacking-Workshop

11. Dezember 2018

Pentesting: Die Kunst, Hackern einen Schritt voraus zu sein

Cyber-Bedrohungen werden immer gefährlicher und durch die Digitalisierung steigt die Anzahl der Angriffsziele. Darum ist Pentesting heute wichtiger denn je.

mod-IT-Hacking-Workshop

Im mod IT Hacking Workshop lernen Teilnehmer in Hands-on-Manier, Systeme zu knacken

Bereits im Jahre 1967 erkannte eine aus IT-Security-Pionieren bestehende Task Force im Auftrag des US-Militärs, dass der Penetrationstest eine der effektivsten Methoden ist, um das Sicherheitsniveau eines Computersystems zu überprüfen. Dabei wird von einem Unternehmen oder einer Organisation ein Team rekrutiert, das die eigenen Systeme nach allen Regeln der Kunst hacken soll. Das Ziel ist es, die eigenen Schwachstellen zu entdecken, bevor Cyberkriminelle es tun. Doch was genau passiert dabei?

Ablauf eines Angriffs

„Der Pentester geht im ersten Schritt genau wie ein krimineller Hacker vor“, sagt Timo Schäfer, IT Security Engineer und Offensive Security Certified Professional (OSCP) bei mod IT Services. „Dieser Teil seiner Arbeit lässt sich theoretisch in vier Phasen unterteilen.“ Diese sind:

1. Reconnaissance: Zunächst werden möglichst viele Informationen über das Ziel gesammelt, um Schwachstellen ausfindig zu machen. Schwachstellen sind beispielsweise veraltete Softwareversionen, unsichere Konfigurationen und fehlende oder schwache Passwörter.

2. Exploitation: Als nächstes verschafft sich der Pentester durch das Ausnutzen der gefundenen Schwachstellen Zugang zu den Zielsystemen. Dabei wird ein speziell auf die jeweilige Schwachstelle zugeschnittener Exploit ausgeführt, also der eigentliche Schadcode.

3. Escalation: Nach dem erfolgreichen Zugang zum System versucht der Pentester, seine Rechte möglichst stark nach oben zu erweitern – idealerweise bis zur Administratorstufe. Anschließend sucht er das System nach besonders sensiblen Informationen wie beispielsweise Passwörtern oder Kreditkartendaten ab.

4. Pivoting: Hat es der Pentester geschafft, ein System zu übernehmen, seine Rechte hoch zu stufen und vor allem die richtigen Passwörter zu ergattern, kann er sich nun daran machen, weitere Systeme des Unternehmensnetzwerks anzugreifen.

mod-it-timo-schäfer

Timo Schäfer kennt sich als Offensive Security Certified Professional (OSCP) bei mod IT bestens mit Penetrationstests aus

Am Ende geht es um den Report

Danach enden allerdings die Gemeinsamkeiten zwischen Pentester und Hacken: Während der Hacker die bei dem Angriff gestohlenen Informationen nutzt, um sich zu bereichern oder dem Unternehmen anderweitig zu schaden, erstellt der Pentester einen Report. „In dem Report dokumentiert der Pentester seine Vorgehensweise sowie die gefundenen Schwachstellen und gibt dem auftraggebenden Unternehmen Handlungsempfehlungen zur Eindämmung der Gefahren. Wenn das Unternehmen diese Vorschläge schnell umsetzt, kann es den Kriminellen tatsächlich einen Schritt voraus sein“, sagt Timo Schäfer.

 

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Individuelle Beratung ersetzt solvetec Onlineshop weiterlesen
In den Unternehmen ist Blackberry wieder eine Macht weiterlesen
Metasploit. Einen Schritt voraus, oder besser zwei! weiterlesen
So gestalten Sie die Rollout-Logistik erfolgreich weiterlesen

AKTUELLE ARTIKEL

10.01.2019 – Gute Karten beim Provider-Management

IT-Director: „Zusammenspiel harmonisch gestalten: Gute Karten beim Provider-Management“ (von: Jens Biermann, 10.01.2019) Ihr Browser kann keine PDFs anzeigen. Sie können das Dokument aber herunterladenDownload PDF.  IT-Director: „Zusammenspiel harmonisch gestalten: Gute Karten beim Provider-Management“  

weiterlesen
06.02.2018–16 Unternehmen in Göttingen und Northeim top — aber Personalnot droht weiterlesen
Wir übertragen unseren Mitarbeitern Verantwortung weiterlesen
mod-Fuhrpark jetzt im einheitlichen Look für unsere Kunden unterwegs weiterlesen
Mit dem Zukunftstag schon in die Zukunft blicken weiterlesen