Innerhalb der Computer-Sicherheitswelt gibt es wohl kaum einen interessanteren und gleichzeitig herausfordernden Job, als den des professionellen Penetration Testers - oder Ethical Hackers, wie die Tätigkeit auch gerne bezeichnet wird. Pentester und Ethical Hacker werden im Grunde dafür bezahlt, (legal) in ein Computer-Netzwerk (oder auch einzelne Devices) einzubrechen.
Dabei ist der Pentester in einer beruflich ziemlich einzigartigen Lage: Hackt er sich erfolgreich durch die Sicherheitsmaßnahmen, bekommt der Kunde die Chance, die Lücken zu schließen, bevor echte Gefahr droht. Findet er nichts, ist der Kunde sogar noch glücklicher, weil er fortan damit werben kann, dass nicht einmal bezahlte Hacker es geschafft haben, seine Systeme zu kompromittieren.
Das heißt auf der anderen Seite aber nicht, dass der Job eines Ethical Hackers leicht wäre. Im Gegenteil. Zwar braucht man für einen Job als Pentester nicht den IQ eines Genies, muss sich aber auf vermeintlich unbezwingbare Herausforderungen in verschiedenen Szenarien einstellen. Wenn Sie allerdings ohnehin immer auf dem neuesten Stand in Sachen Technologie sind und gerne Dinge kompromittieren, könnte Profi-Hacker Ihr absoluter Traumjob sein.
Was ist ein (zertifizierter) Ethical Hacker?
Eine Reihe von Institutionen bietet Trainings und Zertifizierungen für Pentester und Ethical Hacker an. Eine solche Zertifizierung gibt dabei Auskunft darüber, dass die minimalen Expertise-Anforderungen auf dem Feld der IT Security erfüllt sind. Ein Zertifikat für Pentester wird nicht immer vorausgesetzt - viele der Spezialisten in diesem Bereich haben sich ihr Wissen, beziehungsweise Können, selbst beigebracht. Zertifizierungen könnten bei manchem Arbeitgeber allerdings für ein ruhiges Gewissen sorgen: Schließlich ist er sich so ganz sicher, einen echten Experten an Bord zu haben. Das kann unter Umständen auch weitere Türen für gut bezahlte Jobs oder eine Beratertätigkeit öffnen.
Zum Video: Was ist Pentesting?
Einige der renommiertesten Institutionen für die Erteilung von Ethical-Hacking- oder Penetration-Testing-Zertifikaten sind:
SANS Institute
EC-Council
McAfee Foundstone
CREST
Vom Hacker zum Pentester
Um vom Hacker zum Ethical Hacker zu "transformieren", müssen einige Grundschritte getan werden. Die absolute Grundvoraussetzung: Eine dokumentierte Erlaubnis, die Systeme infiltrieren zu dürfen. Schließlich gehört es zu den Grundsätzen eines jeden Profi-Pentesters, niemals das Gesetz zu brechen. Jeder, der in diesem Bereich tätig wird, sollte sein Handeln an ethischen Grundsätzen ausrichten. Das EC-Council stellt einen der besten "code of ethics" öffentlich zur Verfügung.
So geht Ethical Hacking
Wir zeigen Ihnen in fünf Schritten, wie Ethical Hacker arbeiten:
1. Umfang und Zielsetzung bestimmen
Für jeden professionellen Penetration Tester ist eine lückenlose Dokumentation des Aufgabenbereichs und der Zielsetzung essenziell. Bezüglich der Bestimmung des erstgenannten, sollte sich ein Ethical Hacker folgende Fragen stellen:
Welche Computer Assets fallen in den Aufgabenbereich?
Gehören dazu alle Rechner, oder handelt es sich um bestimmte Applikationen, Betriebssysteme, mobile Gerätschaften oder Cloud Services?
Umfasst der Aufgabenbereich nur einen bestimmten Typ von Asset, beispielsweise Web Server oder SQL Server und sollen auch Netzwerk-Devices inkludiert werden?
Kann automatisiertes Schwachstellen-Scanning im Zuge des Pentests zur Anwendung kommen?
Ist Social Engineering erlaubt? Und wenn ja: Welche Methoden und in welchem Umfang?
In welchem Zeitraum soll der Penetration Test stattfinden?
Gibt es bestimmte Tage oder Tageszeiten, die für einen Pentest nicht geeignet sind? (Etwa, weil ansonsten die Gefahr von Ausfällen oder Service-Unterbrechungen droht)
Sollen im Zuge des Pentests möglichst keine Unterbrechungen verursacht werden oder soll ein möglichst authentischer Angriff erfolgen?
Soll es ein "Blackbox" (der Pentester erhält keine internen Informationen über die beteiligten Systeme und Applikationen) oder "Whitebox" (sämtliches internes Wissen über die anzugreifenden Systeme und relevanten Source Code sind vorhanden)-Pentest sein?
Soll das IT-Security-Team mit an Bord geholt werden oder soll deren Reaktion (oder Nicht-Reaktion) getestet werden?
Soll ein möglichst lautloser Ansatz beim Einbruch in die Systeme angewandt werden? Oder soll gezielt geprüft werden, ob die existierenden Detection- und Prevention-Maßnahmen greifen?
Bezüglich der Ziele des Penetration Tests, sollten sich Ethical Hacker fragen:
Geht es nur darum zu zeigen, dass ich in einen Rechner einbrechen kann?
Gehört Denial of Service zu den Zielen, die vom Aufgabenbereich gedeckt sind?
Soll der Zugang zu einem bestimmten Rechner kompromittiert und spezifische Datensätze abgegriffen werden oder reicht es, privilegierten Zugang zu bekommen?
Welche Ergebnisse sollten in die abschließende Dokumentation des Penetration Tests einfließen? Müssen alle angewandten (erfolgreichen und nicht-erfolgreichen) Hacking-Methoden genannt werden? Oder reichen die wichtigsten? Wie tief muss ich ins Detail gehen? Brauche ich Screenshots oder -captures für die Dokumentation?
Bevor irgendwelche Pentesting-Versuche gestartet werden, sollte der Aufgabenbereich und die Zielsetzung detailliert besprochen und sowohl von Seiten des Auftraggebers, als auch der des Ethical Hackers abgesegnet werden.
2. Die richtigen Pentesting-Tools auswählen
Penetration Tester und Ethical Hacker nutzen normalerweise ein Standardset von Hacking Tools. Je nach Einsatz erweitern sie ihr Portfolio aber auch um verschiedene andere Software-Werkzeuge. Soll ein Penetration Tester beispielsweise eine SQL-Datenbank angreifen, hat darin aber keine Erfahrung, wird er im Vorfeld des Tests verschiedene SQL-Angriffswerkzeuge erproben.
Den Startpunkt bildet dabei für viele Ethical Hacker eine Linux-Distribution, die speziell für Pentesting-Zwecke ausgelegt ist. Im Laufe der Jahre gab es einige solcher Distributionen - inzwischen hat sich Kali Linux im professionellen Ethical-Hacking-Umfeld durchgesetzt. Hier gibt es tausende von Hacking Tools zu entdecken, darunter auch die Standard-Tools vieler Profis.
Das wichtigste Kriterium für Hacking Tools ist dabei (neben überzeugender Qualität und der Eignung für die angestrebten Zwecke), dass diese keine Malware oder anderen Schadcode enthalten, mit denen der (Ethical) Hacker gehackt werden soll. Leider enthält die Mehrzahl der im Internet - insbesondere frei verfügbaren - Hacking Tools regelmäßig Malware und undokumentierte Hintertüren. Den gängigsten und populärsten Tools (etwa Nmap) kann man zwar trauen, aber die Creme de la Creme der Pentester schreibt selbstverständlich ihre eigenen Hacking Tools. Getreu dem Motto: "Trust no one."
3. Das Pentesting-Ziel "kennen lernen"
Jeder Ethical-Hacking-Profi beginnt seine Arbeit damit, so viel wie möglich über sein Ziel zu erfahren und zu lernen. Dazu gehören beispielsweise Informationen über die IP-Adresse, das Betriebssystem, Applikationen und Versionsnummern, Patch-Stände, Netzwerk-Ports und alle anderen Daten, die sich für die Kompromittierung als nützlich erweisen könnten.
Es ist eine absolute Seltenheit, dass ein Profi-Pentester nicht bereits in den ersten Minuten eine offensichtliche, potenzielle Schwachstelle entdeckt. Und selbst wenn nicht: Auf Grundlage der gesichteten Informationen können weitere Angriffe, beziehungsweise Angriffsversuche gestartet werden.
4. Den Exploit ausführen
Das ist, wofür der Pentester sein Geld bekommt: der erfolgreiche Einbruch in ein System. Aus den in Phase drei gesicherten Informationen entwickelt der Ethical Hacker einen Exploit für eine identifizierte Schwachstelle und erlangt so unautorisierten Zugang (oder einen Denial of Service, falls das das Ziel war). Wenn ein Pentester es nicht schafft, ein bestimmtes Asset zu kompromittieren, muss er sich auf andere fokussieren. In aller Regel werden Profis aber schnell fündig. Der "Exploit-Part" ist dabei weniger kompliziert, als die meisten Menschen glauben. Um ein guter Ethical Hacker zu sein, muss man kein Genie sein, aber man benötigt zwei Eigenschaften unbedingt: Geduld und Durchhaltevermögen.
Je nach Schwachstelle oder Exploit kann an dieser Stelle ein weiterer Exploit nötig werden - etwa um einen normalen Zugang in einen Admin-Zugang zu "verwandeln". Im nächsten Schritt setzt der Penetration-Testing-Experte nun seinen Weg zum Ziel fort. Dabei bewegt er sich vertikal oder horizontal. Ersteres bezeichnet den Weg über externe Systeme, Zweiteres die Bewegung über dieselbe Klasse von Systemen. Manchmal muss das Ziel des Penetration Tests ganz konkret "erlangt" werden (etwa vertrauliche Daten), in anderen Fällen genügt eine Dokumentation darüber, wie dieser Vorgang abgelaufen wäre.
5. Ergebnisse dokumentieren
Last but not least wartet auch auf den Ethical Hacker Schreibarbeit: Die durchgeführten Maßnahmen, Erkenntnisse und Schlussfolgerungen müssen - je nach vorheriger Abmachung - mehr oder weniger detailliert dokumentiert werden.
Was ein Pentester können muss
Wie jede andere Disziplin der IT-Sicherheit, entwickelt sich auch das professionelle Penetration Testing und Ethical Hacking stets weiter. Hackende Einzelgänger, die zwar gut darin sind, mit ihrer technischen Überlegenheit zu prahlen, dafür aber Professionalität und Raffinesse vermissen lassen, sind bei Unternehmen nicht mehr sehr gefragt. Stattdessen suchen Firmen nach dem Profi-Hacker-Komplettpaket:
Bessere Toolkits: Software für Penetration- oder Vulnerability-Tests gehört seit jeher zum Toolkit eines Ethical Hackers. Inzwischen gibt es einige Programme, die Pentestern gehörig die Arbeit erleichtern - so wie das bei kriminellen Hackern auch der Fall ist.
Ein Beispiel für ein solches Werkzeug ist die Open-Source-Software Bloodhound. Sie erlaubt Angreifern, die Beziehungen zwischen verschiedenen Rechnern in einem Active-Directory-Netzwerk über eine grafische Oberfläche zu erfassen. Nach der Eingabe des gewünschten Ziels zeigt die Software - ähnlich wie ein Navigationssystem - verschiedene (Hacking-)Wege zum Ziel auf. Dabei werden unter Umständen auch Pfade aufgedeckt, die vorher nicht sichtbar waren. Im Zusammenspiel mit einigen Scripts kann ein großer Teil des Ablaufs automatisiert werden.
Kommerzielle Software-Lösungen für Ethical Hacker bieten solche Funktionen naturgemäß schon etwas länger.
Bilder und Videos: Um eine Investition in IT Security beim Vorstand durchzubringen, wurden Pentester früher entweder beauftragt, diesen zu hacken oder ihm eine umfassende Dokumentation vorzulegen. Heute erwartet das Management Präsentationen, Videos und Bildergalerien, die darüber Auskunft geben, wie die Hacks in ihrem Unternehmen abgelaufen sind. Die Materialien können nämlich im Nachgang zur Information weiterer Manager-Kollegen und für die Schulung von Mitarbeitern verwendet werden.
Risikomanagement: Es genügt keinesfalls, eine Liste mit gefundenen Schwachstellen im Unternehmen abzugeben. Heutzutage müssen Ethical Hacker und Pentester mit dem IT Management zusammenarbeiten, um die größten Bedrohungen und Schwachstellen zu identifizieren. Pentesting-Experten sind heute auch Teil der Risikomanagement-Abteilungen, schließlich hilft ihre Tätigkeit auch effektiv dabei, Risiken zu minimieren. Das sollten Ethical Hacker zu nutzen wissen: Sie sind in der Lage, Management und IT-Abteilung darüber aufzuklären, was in Zukunft mit hoher Wahrscheinlichkeit passieren kann. Es macht auch wenig Sinn, dem Vorstand einen Hack zu präsentieren, den in der Praxis kein Angreifer jemals ausführen würde.
Training und Zertifizierung: Viele Wege führen heute zur Pentesting-Zertifizierung, darunter einige Kurse und Zertifikate. Dort findet im Regelfall ein Hacking-Tool-Intensivkursprogramm unter professioneller Aufsicht statt.
Profi-Pentester oder Ethical Hacker ist kein Beruf, der für Jeden geeignet ist. Er setzt sowohl Expertenwissen über verschiedene Technologien und Technologieplattformen voraus, als auch echtes Interesse am Hacken. Wenn das für Sie kein Hindernis ist und Sie darüber hinaus in der Lage sind, die ethischen und rechtlichen Grundsätze zu befolgen, steht auch Ihrer Karriere als professioneller Hacker nichts mehr im Weg.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.