Unser Leistungs-Portfolio

• Externer Penetrationstest für ein nationalweites Apothekennetz

Eines der nationalweiten Apothekennetze hat bei uns einen externen Pen-Test seines Computernetzes bestellt. Der Auftraggeber hat Black-Box-Verfahren ausgewählt.

Im Laufe des Projektes hat es sich erwiesen, dass sich die ganze kritische IT-Infrastruktur hinter einem Firewall (Brandmauer) befindet. Es schien, es gibt keine Chancen einzudringen. Dann haben wir entschieden, die Verkaufsstellen zu prüfen, und einige Apotheken geprüft. Eine davon war mit dem Router von Microtik ausgestattet und dieser hatte ein voreingestelltes Passwort. Dieser Router-Typ hat ein leeres Passwort voreingestellt, deshalb war der Router "bloßgestellt". Der Router hatte OpenVPN, lokal gespeicherte Zertifikate und ließ Sniffing zu. Wir haben den Netzverkehr abgefangen und vertrauliche Informationen über Verkaufsabrechnungs- und Buchhaltungssystem gefunden. Dann haben wir die Zertifikate aus dem Router herausgezogen, eine Scheinverkaufsstelle geschaffen und uns mit dem VPN-Server verbunden. Wir hatten uns als ganz gewöhnliche Apotheke vorgestellt und so sind wir in die innere Infrastruktur des Auftraggebers durchgedrungen, die mit einer Brandmauer geschützt war und schien undurchdringbar zu sein. Wir haben das innere Netzwerk Active Directory kennengelernt, den SQL-Server mit Domain-Authentisierung gefunden und darein durchgedrungen, indem das Passwort verwendend war, das wir früher mit Hilfe des mimikatz-Tools herausgezogen hatten.

Das Projekt war mit der Folgerung erfüllt, dass ein Eindringen möglich ist, und die Informationssicherheit beim Auftraggeber auf niedrigem Niveau liegt. Der Auftraggeber hat folgendes erhalten: Ergebnisse der Risikoauswertungen, Informationen über Sicherheitslücken und Empfehlungen, wie diese zu beseitigen sind, sowie wie die Sicherheit der IT-Infrastruktur zu verstärken ist.

• Gray-Box und White-Box-Penetrationstest bei einer Telekommunikations-Gesellschaft

Eine mittelständische Telekommunikations-Gesellschaft mit Motivation, externen Sicherheitsforderungen nachzugehen, hat bei uns den Ausbau eines komplexen Systems für Informationsschutz und Durchführung einer allgemeinen Sicherheitsanalyse angefragt. Für Pen-Test-Verfahren hat der Auftraggeber Gray-Box und White-Box ausgewählt. Die Zielobjekte des Pen-Tests: externe Server, DMZ, Web-Anwendungen, sowie interne Server. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Fehler bei der Netzkonfiguration, keine Segmentation (es fehlte abgesondertes VLAN für Management-Einheitsinterfaces iLO, IMPI, IP KVM usw.).
  • Schwache Passwörter in der aktiven Netzwerktechnik.
  • Zugänglichkeit der verborgenen Ressourcen (ADMIN$, C$, D$ u.a.).

Nach Ausnutzung der Sicherheitslücken waren Dokumente zugänglich, die vertrauliche Daten enthalten. So war ein unerlaubter Zugriff der Böswilligen simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Interner Pen-Test einer großen industriellen Produktion

Ein großes Werk mit dem Personal bis zu 10000 Mitarbeitern brauchte die Analyse, inwieweit innere IT-Infrastruktur den Sicherheitsforderungen entspricht. Das Werk hat bei uns den Gray-Box und White-Box-Penetrationstest bestellt. Als Zielobjekte des Pen-Tests waren die Server im lokalen Netzwerk gewählt. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Mängel bei Monitoring- Prozessen der Ereignisse und der Reaktion auf Sicherheitsvorfälle (keine Maßnahmen für Eingriffsverhinderung und Wiederherstellung nach den Vorfällen).
  • Mängel beim Konfigurationen-Management (unkontrollierte Prüfungs- und Gastseiten in der korporativen Domain).
  • Mängel beim Zugriff- und Privilegien-Management (SSH-Login ist im Standartkonto für root geöffnet; ein einheitliches Administrator-Konto, für DC-Verwaltung, für Netzwerktechnik, für Benutzerstationen).
  • Andere technische Schwachstellen (Auto-Entdecken des Proxys für Software erlaubt.

Im Projektverlauf war ein unerlaubter Zugriff vom Insider simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Infrastruktur-Analyse eines Einzelhandel-Unternehmens

Bei einem mittelständischen Einzelhändler waren interne und externe Forderungen zur Informationssicherheit eingeführt. Diese Forderungen schrieben die Durchführung einer totalen Infrastruktur-Analyse am Unternehmen vor, inklusive Gray-Box und White-Box-Penetrationstest. Im Pen-Test-Verlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Schwachstellen in den Web-Anwendungen (keine Überprüfung der Abfragegültigkeit in den Anwendungen, Datenvermittlung über den unverschlüsselten HTTP-Kanal).
  • Mängel bei der Privilegienverwaltung (Domain-Konten für verschiedene Services und Anwendungen hatten viel zu weite Privilegien).
  • Fälschung der elektronischen Korrespondenz ist möglich (keine Authentifizierungssysteme DKIM/DMARC auf den E-Mail-Servern).
  • Mängel beim Monitoring- Prozess der Sicherheitsereignisse (keine Einstellung «auditd» nach den Ereignissen).
  • Ein unbefugter Einheitsanschluss im Netzwerk ist möglich (DHCP-Schnüffeln, keine Port-Sicherheit).

Um Sicherheitslücken anschaulich zu machen, war im Pen-Test-Verlauf ein unerlaubter Zugriff zur Netzwerktechnik simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Pen-Test einer Finanzorganisation gemäß den Forderungen PCI DSS

Eine kleine Finanzorganisation, die an die internationalen Zahlungssysteme Visa und Mastercard angeschlossen ist, hat auf die Notwendigkeit gestoßen, die Forderungen des PCI DSS-Standards zu erfüllen. Darunter gibt es die Forderung, den externen und internen Penetrationstest regelmäßig durchzuführen. Infolge der Analyse vom Erfassungsgebietes der Infrastruktur (Datenumgebung der Kartenhalter) waren mit dem Auftraggeber die ausführlichen Parameter des externen Pen-Tests, einschließlich Gray-Box und Black-Box-Test vereinbart, sowie die Zielobjekteliste - die im Internet veröffentlichten Services und Web-Anwendungen.

Als Ergebnisse des Pen-Tests waren zahlreiche Schwachstellen bei Web-Anwendungen entdeckt (PHP-Injektionen, Cross-Site Skripterstellung, direkte Links zu Objekten, keine Software-Update- Instrumente, voreingestellte Web-Server-Konfiguration, keine funktionsbedingte Zugangskontrolle, Überlastungen des Pufferspeichers, Kode-Fehler bei Web-Anwendungen).

Im Projekt-Ergebnis sind keine realen Eindringungswege, sondern nur die potentiellen nachgewiesen. Der Auftraggeber hat den ausführlichen Bericht über diese Wege, sowie Hinweise zur Verbesserung des Infrastrukturschutzes erhalten. Der Bericht war entsprechend den PCI DSS-Forderungen erstellt, inklusive Beschreibung der während der Arbeit eingesetzten Methodik für Penetrationsprüfung.

(Die Gesellschaftsbezeichnungen sind gemäß der Geheimhaltungsvereinbarung verborgen)

Und inwieweit sind Sie geschützt?
Lesen Sie mehr über die Eindringungstests ?? und prüfen Sie Ihren Schutz.


Über uns.


H-X