Menü
Ein Beitrag von Adacor

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Durch die Teilnahme an den Hackattack-Workshops wurde meine Selbstwahrnehmenung so weit geschärft, dass ich bei der Konfiguration und Administration der IT-Systeme den Fokus stärker auf die Systemsicherheit setze und diese auch dem Team gegenüber kommuniziere.

Hacker zieht StrippenViele interne Prozesse können so immer wieder auf die aktuellen Gegebenheiten angepasst und erweitert werden. Was ich mit meinen Kollegen im Seminar bei Hackattack genau gelernt habe, berichte ich in meinem Beitrag.

Um sich vor äußeren Angriffen durch unbefugte Dritte zu schützen, lohnt sich die Investition in diverse Sicherheitsmaßnahmen. Diese schließen die Identifizierung sicherheitskritischer Daten genauso mit ein, wie die regelmäßige Sicherheitsüberprüfung aller IT-Systeme oder die Sensibilisierung und Qualifizierung der Mitarbeiter durch Weiterbildung.

Unabhängig davon, ob der Angriff über das Web oder einen mit Malware infizierten USB-Stick erfolgt, wenn es den Cyberkriminellen gelingt, sich Zugriff auf Teile der IT-Infrastruktur einer Firma zu verschaffen, dann können sie Passwörter knacken, Geschäftsgeheimnisse entwenden oder Administratorenkonten hacken und das gesamte IT-System kompromittieren.

Wirksamer Schutz vor Hacking

Im März veröffentlichte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) die Ergebnisse einer Befragung von mehr als 400 deutschen Unternehmen zum Thema „Cyberangriffe“. Danach verzeichnete fast jedes dritte Unternehmen in den Jahren 2012 und 2013 Angriffe auf seine IT-Systeme. Überraschend: Knapp 60 % der betroffenen Unternehmen erklärten, dass die Angriffe direkt vor Ort erfolgten. Z. B. wurden Daten gezielt gestohlen oder Schadprogramme per USB-Stick eingeschleust. Bei 30 % der Firmen erfolgten die Angriffe über das Internet.

Für die ADACOR gehören entsprechende Mitarbeiterschulungen seit jeher zum festen Bestandteil des Sicherheitskonzepts. So schickt der Hosting-Experte seine Systemadministratoren regelmäßig zu Hacking-Seminaren. Dort erfahren die IT-Fachleute, welche Techniken, Vorgehensweisen und Tools die Hacker verwenden, um sich Zugriff auf Firmensysteme und Netzwerke zu verschaffen. Denn nur wer die aktuellen Angriffstechniken sowie seine eigenen Schwachstellen kennt, kann sich wirksam dagegen wehren.

Hacking Pro: Penetrationstests wissenswert und praxisnah

Bei der ArbeitEnde 2013 besuchten zwei ADACOR-Mitarbeiter die Hacking-Pro-Schulung der Hackattack Security GmbH. Diese bietet geballtes Wissen und praxisnahe Hacking-Simulation vier Tage lang, sieben Stunden täglich. Das konkrete Ziel legte Kursleiter Alfred Grabner, der ebenfalls Geschäftsführer von Hackattack ist, gleich zu Beginn fest: Zum einen wies er auf inhaltliche Highlights wie das Hacking von Firewalls, LANs und Servern sowie die Schwachstellenermittlung in den Netzwerk- und Software-Systemen hin. Zum anderen informierte er die Teilnehmer, dass die Praxis im Mittelpunkt stehen und sich die Theorie auf das Notwendigste beschränken wird.

Tag 1: Social Engineering, Web- und Firewall-Hacking

Bereits das Szenario am ersten Tag wies eine enge Beziehung zur Praxis auf: Die Teilnehmer wurden von der „Fantasy GmbH“ für die Überprüfung der IT-Sicherheit des Unternehmens als Penetrationstester engagiert. Die Modellinfrastruktur ließ dabei keine Wünsche offen. Sämtliche Technik befand sich auf dem neuesten Stand: Active Directory Windows Server 2008/2012, Windows 7 Clients, SAP-System, Cisco VLAN sowie aktuelle Firewall-Systeme.

Um festzustellen wie sicher das IT-Netzwerk der „Fantasy GmbH“ ist, sollten die Teilnehmer Mittel und Methoden einsetzen, die ein Hacker normalerweise anwenden würde, um unbefugt in ein System einzudringen. Konkret umfasste der Auftrag fünf Schritte:

1. Durchdringen der Firewall
2. Überlistung der DMZ (Demilitarized Zone)
3. Eindringen in das Local Area Network
4. Hacking der Windows-2012-Domäne und der Administratorenkonten
5. Austricksen der ERP -Server und der verschiedenen Virtual Local Area Networks

Während der Zeit, in der die Schulungsbesucher diese Aufgaben lösten, wurden sie kompetent von Alfred Grabner begleitet. Dieser stellte z. B. nebenher verschiedene Hacking-Programme und Pentrationstools wie Maltego, Nessus, OpenVAS oder Armitage vor.

Ebenso spielte das Thema „Social Engineering“ am ersten Tag eine Rolle. Die Teilnehmer lernten, wie man mittels Sammlung von unternehmens- und personenbezogenen Informationen im Internet, Passwortlisten personalisieren kann. In diesem Zusammenhang wurde auch auf die Rolle sozialer Netzwerke wie Facebook und Google hingewiesen. Denn über diese Plattformen bzw. die entsprechenden Nutzerprofile lassen sich Informationen zu Hobbys, Lebenspartnern, Kindern, Freunden, Telefonnummern und Geburtstagen leicht herausfinden. Diese Daten können wiederum Rückschlüsse auf Passwortkombinationen geben.

Ein weiterer Punkt auf der Tagesordnung lautete „Web Hacking mit automatisiertem Web Security Scanner“. Hier erfuhren die Teilnehmer, wie man mit einem Scanner, mit dem man normalerweise Webapplikationen auf ihre Sicherheit testet, Schwachstellen ausnutzt und hackt.

HackerEine zusätzliche Angriffsvariante, über die gesprochen wurde, nennt sich DNS Zone Stealing (Zonendiebstahl des Domain Name Systems). Hier bringt der Angreifer eine nicht autorisierte Übertragung der gesamten DNS-Zonendatenbank in Gang. Die daraus gewonnenen Informationen werden anschließend für Attacken auf den DNS-Cache der anfragenden DNS-Clients genutzt. Gelingt es dem Kriminellen, sich direkt zwischen den Client und den Server zu hacken, kann er den gesamten Daten- und Nachrichtenverkehr zwischen beiden Systemen abfangen und manipulieren, z. B. durch das Umleiten einer Domain auf eine Fake-Seite, um darüber Nutzerdaten abzufangen.

Der erste Schulungstag endete mit der Antwort auf verschiedene Fragen: Z. B. wie man mittels Vulnerability Scans, d. h., durch das softwarebasierte Scannen eines Computers oder Netzwerks, Schwachpunkte in Servern und Firewalls erkennt oder wie man mittels Pivoting eine Firewall überwinden und dadurch Zugriff auf die DMZ erhalten kann.

Tag 2: Exploiting PRO

Der zweite Tag des Hacking-Pro-Seminars stand im Zeichen des Themas „Exploiting“, d. h. die systematische Möglichkeit, Schwachstellen auszunutzen, die bei der Entwicklung eines Programms nicht berücksichtigt wurden. Um das Thema besser zu veranschaulichen, stellte Alfred Grabner mehrere Windows Exploitings bei Windows Servern vor und erklärte wichtige Funktionen und Zugriffsmöglichkeiten mithilfe des Metasploit-Projekts. Anschließend probierten die Penetrationstester die Exploitings selbst aus, indem sie einen Angriff auf die DMZ-Server der „Fantasy GmbH“ starteten.

Nachdem die Server erfolgreich gehackt waren, lag schon das nächstes Ziel vor Augen: ein weiterer Exploit-Angriff auf einen FTP-Server. Als die Maschine überlistet war, konnten die Teilnehmer auf vertrauliche Mitarbeiterinformationen zugreifen und ihre Passwortlisten mit diesen weiter personalisieren.

Für das finale Massen-Exploiting im Intranet der „Fantasy GmbH“ per Drag-and-Drop-Technik kam Armitage zum Einsatz. Hierbei entdeckten die Tester innerhalb des LANs weitere Systeme, welche sich als Angriffsziele eigneten. Besonderes Interesse weckten die Windows Active Directory Server. Denn nachdem die Passwörter aus der Windows Active Directory dieser Systeme gehackt waren, lag sogar der Zugang auf einzelne Mitarbeiterpasswörter frei.

Tag 3: Interne Systeme

HackattackAm dritten Tag drangen die Teilnehmer noch tiefer in die interne Infrastruktur der „Fantasy GmbH“ ein. Beim Tagesziel ging es um die Infiltrierung der ERP-Systeme am Beispiel von SAP. In diesem Zusammenhang spielte auch der Online-Zugriff über die DMZ in das LAN mittels Reverse Proxy Chains eine Rolle. Die Probanden tunnelten dabei die Ports bestimmter interner Systeme zu den Client-Systemen. Anschließend lernten sie Techniken kennen, mit denen Angreifer mit normalen Nutzerprivilegien erweiterte Administratorenrechte erreichen können (Privilege Escalation).

Weiterer Tagesordnungspunkt war der unberechtigte Zugriff auf ein Windows 7 System mittels Pass-the-Hash-Methode , bei der die Zugangsdaten von einem Rechner entwendet und für die Authentifizierung an anderen Zugangspunkten in einem Netzwerk eingesetzt werden.

Überdies gehörten die Man-in-the-Middle-Attacke und der Brute-Force-Angriff zum Themenspektrum des dritten Tages. Hier lernten die Teilnehmer, wie der Angreifer beim Mittelsmann-Angriff die vollständige Kontrolle über den Nachrichten- und Datenverkehr zwischen zwei oder mehreren Kommunikationsteilnehmern übernehmen und manipulieren kann. Beim Brute-Force-Angriff auf Terminal Server und Browser hingegen versuchen die Kriminellen Passwörter mithilfe einer Software zu knacken, welche in schneller Abfolge unzählige Buchstaben-Zahlen-Zeichenkombinationen ausprobiert.

Abschließend wurde das Thema „Browser-Hijacking“ durchgenommen. Dabei ging es um die Übernahme einer fremden Browser Session, bei welcher der Angreifer die Startseite ändert bzw. die Suchseite eines Browsers auf eine vom Nutzer nicht gewünschte Seite durch ein bösartiges Manipulationsprogramm austauscht.

Image

Digitalisierung nimmt Fahrt auf

Behind The Scene Ausgabe 33
Topthemen:
Digitale Transformation im Agenturalltag
So funktioniert Cloud Hosting
Die Grenzen von OpenStack

Jetzt PDF kostenfrei downloaden

Tag 4: Specials und Capture The Flag (CTF)

Am letzten Schulungstag ging es um das VLAN Hopping sowie das Hacking von WLANs mittels zusätzlichem Rogue Access Point. Dieser sitzt an der Schnittstelle zwischen LAN und WLAN, sodass der Angreifer ungestört Informationen aus den internen Datenübertragungen sammeln und nach außen weiterleiten kann.

Darüber hinaus informierte die Schulung über den Einsatz von Hardware- und Software-Keyloggern in der Praxis. Hacker verwenden diese gerne, um persönliche Daten wie PIN oder Kennwörter mitzuschreiben. Die Teilnehmer erfuhren außerdem wie einfach es ist, Telefonate des Standards DECT (Digital Enhanced Cordless Telecommunications) abzuhören, und welche Mobile Devices sich am besten zum Hacken eignen.

Bei der finalen Capture the Flag Challenge konnten schließlich alle Teilnehmer zeigen, was sie gelernt hatten. Bei diesem Wettbewerb traten die verschiedenen Unternehmensteams gegeneinander an. Bei der Lösung themenbezogener Aufgaben konnten diese Flaggen (engl. flags) erbeuten, die Punkte brachten. Die Teilnehmer der ADACOR waren die Ersten, die CTF erfolgreich beendeten. Dafür gab es ein dickes Lob von Kursleiter Alfred Grabner und zum Abschluss für die erfolgreiche Teilnahme ein Zertifikat für alle.

Es hat sich gelohnt

Die Mitarbeiter der ADACOR, die am Hacking-Pro-Seminar teilnahmen, sind sich einig: Der Besuch hat sich gelohnt! Und ADACOR-CTO Patrick Fend zeigt sich ebenso zufrieden: „Seit meiner ersten Teilnahme an einer Hackattack-Schulung ist mein Bewusstsein für die Gefahren, die von Hackern ausgehen, geschärft. Im Unternehmen haben wir seitdem bereits etliche Sicherheitskomponenten etabliert, die es Hackern schwer machen, unsere Systeme zu infiltrieren.“

, , , , ,


Weitere Artikel zum Thema lesen

Wie funktioniert M2M-Kommunikation?

IT-News

Wie funktioniert M2M-Kommunikation?

Die M2M-Technologie verbindet moderne Informations- und Kommunikationstechnik miteinander. Mittels M2M kommunizieren Endgeräte mit einer zentralen Schaltstelle. M2M-Kommunikation besteht aus drei Grundkomponenten Dem Datenendpunkt (Data...

weiter lesen

BGP Manipulation leicht gemacht

Hosting, IT Security, IT-News

BGP Manipulation leicht gemacht

Unser Teamleiter Infrastruktur zeigt den Ablauf einer simplen exabgp Konfiguration in seinem Blogbeitrag.

weiter lesen

Partnerschaft von Agenturen und Hostern

Hosting

Partnerschaft von Agentur und Hoster

So gelingt die zielführende Auswahl von Hosting-Anbietern für Webagenturen.

weiter lesen


Neueste Nachrichten von Adacor

Datendschungel Big Data

Biz & Trends

Big Data – Mehr Durchblick im Datendschungel

Big Data wird häufig als Synonym für NoSQL-Datenbanken genutzt. Wir ordnen die Themen Big Data und Datenbanken korrekt ein.

weiter lesen

iks

IT Security

Compliance – Vertrauen ist gut, Kontrolle ist besser

Wir stellen wirksame Instrumente für die erfolgreiche Unternehmenskontrolle im Rahmen der von uns erbrachten IT-Services vor.

weiter lesen

Warum brauchen Sie Informationen über die Applikation?

Hosting

Warum brauchen Sie Informationen über die Applikation?

Die Verzahnung der Entwicklung mit dem Betrieb direkt bei der Konzeption löst die gewünschte Agilität aus, um „Continuous Operations“ zu gewährleisten.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.