ENRUUA

Unser Leistungs-Portfolio

• Pentest der Funktion eines Kryptowährungsaustauschs

Wir wurden von einem Unternehmen angesprochen, das den Einstieg in den vielversprechenden Kryptowährungsmarkt plante. Um dieses Ziel zu erreichen, hat das Unternehmen eine Webanwendung mit der Funktionalität des Kryptowährungsaustauschs entwickelt. Bevor die Anwendung im Internet veröffentlicht wurde, entschied sich das Unternehmen dafür, ein Informationssicherheitsaudit mit Penetrationstestverfahren gemäß der OWASP-Methode durchzuführen. Sie haben einen solchen Service von uns angefordert.

Der Test wurde im „Black-Box“ -Modus durchgeführt: in der Anfangsphase standen den Prüfern nur die URL der zu testenden Anwendung zur Verfügung.

Im Verlauf des Pentests wurden die folgenden Aktionen identifiziert und bestätigt, die von Angreifern ausgeführt werden konnten:

  • Von der fehlenden Eingabefilterung in den Funktionen des Besprechungsraums profitieren und einen XSS-Angriff auf einen Benutzer oder Administrator durchführen. Dies wurde erfolgreich bestätigt, als das Dialogfeld vom Testopfer (dem Benutzer oder Administrator, an den die Nachricht übermittelt wurde) geöffnet wurde. Die Skriptfunktionalität kann beliebig sein. Zum Beispiel, verstecktes Mining, eine gefälschte Form der Authentifizierung usw., um den Computer des Opfers vollständig zu kontrollieren.
  • Die Fehler in der Funktion zum Hochladen von Dateien in der Webanwendung nutzen und auf das Dateisystem des Servers zugreifen (Fähigkeit, Dateien zu lesen, hochzuladen oder zu löschen), beliebige Befehle auf dem Server auszuführen, SQL-Abfragen auszuführen, und Verbindungen von der Server-Schnittstelle herzustellen andere Systeme, d.h. der Angreifer erhält die vollständige Kontrolle über den Server und die Daten können vollständig beeinträchtigt werden.
  • Nachdem sie die Kontrolle über den Server erlangt haben, können sie die Nachteile des kryptografischen Schutzes nutzen. Insbesondere die mangelnde Kontrolle über die Integrität der Transaktionsdaten in der Anwendung und Änderungen am Kontostand.
  • Die Prüfung beim Senden von Nachrichten umgehen und die Identität eines anderen Benutzers oder Administrators annehmen. Auf solche Weise Irreführen sie das Opfer und begehen betrügerische Aktionen.
  • Registrierte Benutzer identifizieren.
  • Angriffskennwörter.
  • Nicht autorisierten Zugriff auf Dateien erhalten, die andere Benutzer heruntergeladen haben.

Der Kunde erhielt einen ausführlichen Bericht über Schwachstellen und deren Behebung. Nach der Beseitigung von Schwachstellen haben die Prüfer die Beseitigung der zuvor festgestellten Mängel überprüft. Und erst nachdem diese Webanwendung im Internet veröffentlicht wurde.

So hat die Prüfung mit Penetrationstestmethoden den Kunden vor möglichen Reputations- und finanziellen Verlusten bewahren.

• Externer Penetrationstest für ein nationalweites Apothekennetz

Eines der nationalweiten Apothekennetze hat bei uns einen externen Pen-Test seines Computernetzes bestellt. Der Auftraggeber hat Black-Box-Verfahren ausgewählt.

Im Laufe des Projektes hat es sich erwiesen, dass sich die ganze kritische IT-Infrastruktur hinter einem Firewall (Brandmauer) befindet. Es schien, es gibt keine Chancen einzudringen. Dann haben wir entschieden, die Verkaufsstellen zu prüfen, und einige Apotheken geprüft. Eine davon war mit dem Router von Microtik ausgestattet und dieser hatte ein voreingestelltes Passwort. Dieser Router-Typ hat ein leeres Passwort voreingestellt, deshalb war der Router "bloßgestellt". Der Router hatte OpenVPN, lokal gespeicherte Zertifikate und ließ Sniffing zu. Wir haben den Netzverkehr abgefangen und vertrauliche Informationen über Verkaufsabrechnungs- und Buchhaltungssystem gefunden. Dann haben wir die Zertifikate aus dem Router herausgezogen, eine Scheinverkaufsstelle geschaffen und uns mit dem VPN-Server verbunden. Wir hatten uns als ganz gewöhnliche Apotheke vorgestellt und so sind wir in die innere Infrastruktur des Auftraggebers durchgedrungen, die mit einer Brandmauer geschützt war und schien undurchdringbar zu sein. Wir haben das innere Netzwerk Active Directory kennengelernt, den SQL-Server mit Domain-Authentisierung gefunden und darein durchgedrungen, indem das Passwort verwendend war, das wir früher mit Hilfe des mimikatz-Tools herausgezogen hatten.

Das Projekt war mit der Folgerung erfüllt, dass ein Eindringen möglich ist, und die Informationssicherheit beim Auftraggeber auf niedrigem Niveau liegt. Der Auftraggeber hat folgendes erhalten: Ergebnisse der Risikoauswertungen, Informationen über Sicherheitslücken und Empfehlungen, wie diese zu beseitigen sind, sowie wie die Sicherheit der IT-Infrastruktur zu verstärken ist.

• Gray-Box und White-Box-Penetrationstest bei einer Telekommunikations-Gesellschaft

Eine mittelständische Telekommunikations-Gesellschaft mit Motivation, externen Sicherheitsforderungen nachzugehen, hat bei uns den Ausbau eines komplexen Systems für Informationsschutz und Durchführung einer allgemeinen Sicherheitsanalyse angefragt. Für Pen-Test-Verfahren hat der Auftraggeber Gray-Box und White-Box ausgewählt. Die Zielobjekte des Pen-Tests: externe Server, DMZ, Web-Anwendungen, sowie interne Server. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Fehler bei der Netzkonfiguration, keine Segmentation (es fehlte abgesondertes VLAN für Management-Einheitsinterfaces iLO, IMPI, IP KVM usw.).
  • Schwache Passwörter in der aktiven Netzwerktechnik.
  • Zugänglichkeit der verborgenen Ressourcen (ADMIN$, C$, D$ u.a.).

Nach Ausnutzung der Sicherheitslücken waren Dokumente zugänglich, die vertrauliche Daten enthalten. So war ein unerlaubter Zugriff der Böswilligen simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Interner Pen-Test einer großen industriellen Produktion

Ein großes Werk mit dem Personal bis zu 10000 Mitarbeitern brauchte die Analyse, inwieweit innere IT-Infrastruktur den Sicherheitsforderungen entspricht. Das Werk hat bei uns den Gray-Box und White-Box-Penetrationstest bestellt. Als Zielobjekte des Pen-Tests waren die Server im lokalen Netzwerk gewählt. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Mängel bei Monitoring- Prozessen der Ereignisse und der Reaktion auf Sicherheitsvorfälle (keine Maßnahmen für Eingriffsverhinderung und Wiederherstellung nach den Vorfällen).
  • Mängel beim Konfigurationen-Management (unkontrollierte Prüfungs- und Gastseiten in der korporativen Domain).
  • Mängel beim Zugriff- und Privilegien-Management (SSH-Login ist im Standartkonto für root geöffnet; ein einheitliches Administrator-Konto, für DC-Verwaltung, für Netzwerktechnik, für Benutzerstationen).
  • Andere technische Schwachstellen (Auto-Entdecken des Proxys für Software erlaubt.

Im Projektverlauf war ein unerlaubter Zugriff vom Insider simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Infrastruktur-Analyse eines Einzelhandel-Unternehmens

Bei einem mittelständischen Einzelhändler waren interne und externe Forderungen zur Informationssicherheit eingeführt. Diese Forderungen schrieben die Durchführung einer totalen Infrastruktur-Analyse am Unternehmen vor, inklusive Gray-Box und White-Box-Penetrationstest. Im Pen-Test-Verlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Schwachstellen in den Web-Anwendungen (keine Überprüfung der Abfragegültigkeit in den Anwendungen, Datenvermittlung über den unverschlüsselten HTTP-Kanal).
  • Mängel bei der Privilegienverwaltung (Domain-Konten für verschiedene Services und Anwendungen hatten viel zu weite Privilegien).
  • Fälschung der elektronischen Korrespondenz ist möglich (keine Authentifizierungssysteme DKIM/DMARC auf den E-Mail-Servern).
  • Mängel beim Monitoring- Prozess der Sicherheitsereignisse (keine Einstellung «auditd» nach den Ereignissen).
  • Ein unbefugter Einheitsanschluss im Netzwerk ist möglich (DHCP-Schnüffeln, keine Port-Sicherheit).

Um Sicherheitslücken anschaulich zu machen, war im Pen-Test-Verlauf ein unerlaubter Zugriff zur Netzwerktechnik simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Pen-Test einer Finanzorganisation gemäß den Forderungen PCI DSS

Eine kleine Finanzorganisation, die an die internationalen Zahlungssysteme Visa und Mastercard angeschlossen ist, hat auf die Notwendigkeit gestoßen, die Forderungen des PCI DSS-Standards zu erfüllen. Darunter gibt es die Forderung, den externen und internen Penetrationstest regelmäßig durchzuführen. Infolge der Analyse vom Erfassungsgebietes der Infrastruktur (Datenumgebung der Kartenhalter) waren mit dem Auftraggeber die ausführlichen Parameter des externen Pen-Tests, einschließlich Gray-Box und Black-Box-Test vereinbart, sowie die Zielobjekteliste - die im Internet veröffentlichten Services und Web-Anwendungen.

Als Ergebnisse des Pen-Tests waren zahlreiche Schwachstellen bei Web-Anwendungen entdeckt (PHP-Injektionen, Cross-Site Skripterstellung, direkte Links zu Objekten, keine Software-Update- Instrumente, voreingestellte Web-Server-Konfiguration, keine funktionsbedingte Zugangskontrolle, Überlastungen des Pufferspeichers, Kode-Fehler bei Web-Anwendungen).

Im Projekt-Ergebnis sind keine realen Eindringungswege, sondern nur die potentiellen nachgewiesen. Der Auftraggeber hat den ausführlichen Bericht über diese Wege, sowie Hinweise zur Verbesserung des Infrastrukturschutzes erhalten. Der Bericht war entsprechend den PCI DSS-Forderungen erstellt, inklusive Beschreibung der während der Arbeit eingesetzten Methodik für Penetrationsprüfung.

(Die Gesellschaftsbezeichnungen sind gemäß der Geheimhaltungsvereinbarung verborgen)


Andere unsere glücklichen Kunden

 

Referenzen

Das H-X-Team führte eine detaillierte Planung des Projekts durch, um die Sicherheit unserer Infrastruktur zu bewerten, einen kreativen Ansatz zu zeigen und den Plan gut umzusetzen. Die Sicherheitsbewertung lieferte wichtige Informationen zu den Prioritäten für die Verbesserung der Sicherheit im Unternehmen, zu strategischen Zielen und zu taktischen Aufgaben.

Dmitry Dneprovsky, Manager für Informationssicherheit, Intecracy Group

Wir stehen vor ernsthaften Herausforderungen in Bezug auf die Anforderungen unserer Kunden hinsichtlich der formalen Einhaltung internationaler und industrieller Standards der Informationssicherheit. Das H-X-Team hat uns sehr schnell geholfen, aktuelle organisatorische und technische Mängel zu bewerten und zu beheben, und hilft weiterhin.

Artem Savotin, Direktor, Ameria Ukraine

Und inwieweit sind Sie geschützt?
Lesen Sie mehr über die Eindringungstests und prüfen Sie Ihren Schutz.


Über uns.