ENRUUA

Unser Leistungs-Portfolio

1. Security Assessment Projects: Audits and Penetration Tests

• Pentest der Funktion eines Kryptowährungsaustauschs

Wir wurden von einem Unternehmen angesprochen, das den Einstieg in den vielversprechenden Kryptowährungsmarkt plante. Um dieses Ziel zu erreichen, hat das Unternehmen eine Webanwendung mit der Funktionalität des Kryptowährungsaustauschs entwickelt. Bevor die Anwendung im Internet veröffentlicht wurde, entschied sich das Unternehmen dafür, ein Informationssicherheitsaudit mit Penetrationstestverfahren gemäß der OWASP-Methode durchzuführen. Sie haben einen solchen Service von uns angefordert.

Der Test wurde im „Black-Box“ -Modus durchgeführt: in der Anfangsphase standen den Prüfern nur die URL der zu testenden Anwendung zur Verfügung.

Im Verlauf des Pentests wurden die folgenden Aktionen identifiziert und bestätigt, die von Angreifern ausgeführt werden konnten:

  • Von der fehlenden Eingabefilterung in den Funktionen des Besprechungsraums profitieren und einen XSS-Angriff auf einen Benutzer oder Administrator durchführen. Dies wurde erfolgreich bestätigt, als das Dialogfeld vom Testopfer (dem Benutzer oder Administrator, an den die Nachricht übermittelt wurde) geöffnet wurde. Die Skriptfunktionalität kann beliebig sein. Zum Beispiel, verstecktes Mining, eine gefälschte Form der Authentifizierung usw., um den Computer des Opfers vollständig zu kontrollieren.
  • Die Fehler in der Funktion zum Hochladen von Dateien in der Webanwendung nutzen und auf das Dateisystem des Servers zugreifen (Fähigkeit, Dateien zu lesen, hochzuladen oder zu löschen), beliebige Befehle auf dem Server auszuführen, SQL-Abfragen auszuführen, und Verbindungen von der Server-Schnittstelle herzustellen andere Systeme, d.h. der Angreifer erhält die vollständige Kontrolle über den Server und die Daten können vollständig beeinträchtigt werden.
  • Nachdem sie die Kontrolle über den Server erlangt haben, können sie die Nachteile des kryptografischen Schutzes nutzen. Insbesondere die mangelnde Kontrolle über die Integrität der Transaktionsdaten in der Anwendung und Änderungen am Kontostand.
  • Die Prüfung beim Senden von Nachrichten umgehen und die Identität eines anderen Benutzers oder Administrators annehmen. Auf solche Weise Irreführen sie das Opfer und begehen betrügerische Aktionen.
  • Registrierte Benutzer identifizieren.
  • Angriffskennwörter.
  • Nicht autorisierten Zugriff auf Dateien erhalten, die andere Benutzer heruntergeladen haben.

Der Kunde erhielt einen ausführlichen Bericht über Schwachstellen und deren Behebung. Nach der Beseitigung von Schwachstellen haben die Prüfer die Beseitigung der zuvor festgestellten Mängel überprüft. Und erst nachdem diese Webanwendung im Internet veröffentlicht wurde.

So hat die Prüfung mit Penetrationstestmethoden den Kunden vor möglichen Reputations- und finanziellen Verlusten bewahren.

• Externer Penetrationstest für ein nationalweites Apothekennetz

Eines der nationalweiten Apothekennetze hat bei uns einen externen Pen-Test seines Computernetzes bestellt. Der Auftraggeber hat Black-Box-Verfahren ausgewählt.

Im Laufe des Projektes hat es sich erwiesen, dass sich die ganze kritische IT-Infrastruktur hinter einem Firewall (Brandmauer) befindet. Es schien, es gibt keine Chancen einzudringen. Dann haben wir entschieden, die Verkaufsstellen zu prüfen, und einige Apotheken geprüft. Eine davon war mit dem Router von Microtik ausgestattet und dieser hatte ein voreingestelltes Passwort. Dieser Router-Typ hat ein leeres Passwort voreingestellt, deshalb war der Router "bloßgestellt". Der Router hatte OpenVPN, lokal gespeicherte Zertifikate und ließ Sniffing zu. Wir haben den Netzverkehr abgefangen und vertrauliche Informationen über Verkaufsabrechnungs- und Buchhaltungssystem gefunden. Dann haben wir die Zertifikate aus dem Router herausgezogen, eine Scheinverkaufsstelle geschaffen und uns mit dem VPN-Server verbunden. Wir hatten uns als ganz gewöhnliche Apotheke vorgestellt und so sind wir in die innere Infrastruktur des Auftraggebers durchgedrungen, die mit einer Brandmauer geschützt war und schien undurchdringbar zu sein. Wir haben das innere Netzwerk Active Directory kennengelernt, den SQL-Server mit Domain-Authentisierung gefunden und darein durchgedrungen, indem das Passwort verwendend war, das wir früher mit Hilfe des mimikatz-Tools herausgezogen hatten.

Das Projekt war mit der Folgerung erfüllt, dass ein Eindringen möglich ist, und die Informationssicherheit beim Auftraggeber auf niedrigem Niveau liegt. Der Auftraggeber hat folgendes erhalten: Ergebnisse der Risikoauswertungen, Informationen über Sicherheitslücken und Empfehlungen, wie diese zu beseitigen sind, sowie wie die Sicherheit der IT-Infrastruktur zu verstärken ist.

• Gray-Box und White-Box-Penetrationstest bei einer Telekommunikations-Gesellschaft

Eine mittelständische Telekommunikations-Gesellschaft mit Motivation, externen Sicherheitsforderungen nachzugehen, hat bei uns den Ausbau eines komplexen Systems für Informationsschutz und Durchführung einer allgemeinen Sicherheitsanalyse angefragt. Für Pen-Test-Verfahren hat der Auftraggeber Gray-Box und White-Box ausgewählt. Die Zielobjekte des Pen-Tests: externe Server, DMZ, Web-Anwendungen, sowie interne Server. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Fehler bei der Netzkonfiguration, keine Segmentation (es fehlte abgesondertes VLAN für Management-Einheitsinterfaces iLO, IMPI, IP KVM usw.).
  • Schwache Passwörter in der aktiven Netzwerktechnik.
  • Zugänglichkeit der verborgenen Ressourcen (ADMIN$, C$, D$ u.a.).

Nach Ausnutzung der Sicherheitslücken waren Dokumente zugänglich, die vertrauliche Daten enthalten. So war ein unerlaubter Zugriff der Böswilligen simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Interner Pen-Test einer großen industriellen Produktion

Ein großes Werk mit dem Personal bis zu 10000 Mitarbeitern brauchte die Analyse, inwieweit innere IT-Infrastruktur den Sicherheitsforderungen entspricht. Das Werk hat bei uns den Gray-Box und White-Box-Penetrationstest bestellt. Als Zielobjekte des Pen-Tests waren die Server im lokalen Netzwerk gewählt. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Mängel bei Monitoring- Prozessen der Ereignisse und der Reaktion auf Sicherheitsvorfälle (keine Maßnahmen für Eingriffsverhinderung und Wiederherstellung nach den Vorfällen).
  • Mängel beim Konfigurationen-Management (unkontrollierte Prüfungs- und Gastseiten in der korporativen Domain).
  • Mängel beim Zugriff- und Privilegien-Management (SSH-Login ist im Standartkonto für root geöffnet; ein einheitliches Administrator-Konto, für DC-Verwaltung, für Netzwerktechnik, für Benutzerstationen).
  • Andere technische Schwachstellen (Auto-Entdecken des Proxys für Software erlaubt.

Im Projektverlauf war ein unerlaubter Zugriff vom Insider simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Infrastruktur-Analyse eines Einzelhandel-Unternehmens

Bei einem mittelständischen Einzelhändler waren interne und externe Forderungen zur Informationssicherheit eingeführt. Diese Forderungen schrieben die Durchführung einer totalen Infrastruktur-Analyse am Unternehmen vor, inklusive Gray-Box und White-Box-Penetrationstest. Im Pen-Test-Verlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Schwachstellen in den Web-Anwendungen (keine Überprüfung der Abfragegültigkeit in den Anwendungen, Datenvermittlung über den unverschlüsselten HTTP-Kanal).
  • Mängel bei der Privilegienverwaltung (Domain-Konten für verschiedene Services und Anwendungen hatten viel zu weite Privilegien).
  • Fälschung der elektronischen Korrespondenz ist möglich (keine Authentifizierungssysteme DKIM/DMARC auf den E-Mail-Servern).
  • Mängel beim Monitoring- Prozess der Sicherheitsereignisse (keine Einstellung «auditd» nach den Ereignissen).
  • Ein unbefugter Einheitsanschluss im Netzwerk ist möglich (DHCP-Schnüffeln, keine Port-Sicherheit).

Um Sicherheitslücken anschaulich zu machen, war im Pen-Test-Verlauf ein unerlaubter Zugriff zur Netzwerktechnik simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

• Pen-Test einer Finanzorganisation gemäß den Forderungen PCI DSS

Eine kleine Finanzorganisation, die an die internationalen Zahlungssysteme Visa und Mastercard angeschlossen ist, hat auf die Notwendigkeit gestoßen, die Forderungen des PCI DSS-Standards zu erfüllen. Darunter gibt es die Forderung, den externen und internen Penetrationstest regelmäßig durchzuführen. Infolge der Analyse vom Erfassungsgebietes der Infrastruktur (Datenumgebung der Kartenhalter) waren mit dem Auftraggeber die ausführlichen Parameter des externen Pen-Tests, einschließlich Gray-Box und Black-Box-Test vereinbart, sowie die Zielobjekteliste - die im Internet veröffentlichten Services und Web-Anwendungen.

Als Ergebnisse des Pen-Tests waren zahlreiche Schwachstellen bei Web-Anwendungen entdeckt (PHP-Injektionen, Cross-Site Skripterstellung, direkte Links zu Objekten, keine Software-Update- Instrumente, voreingestellte Web-Server-Konfiguration, keine funktionsbedingte Zugangskontrolle, Überlastungen des Pufferspeichers, Kode-Fehler bei Web-Anwendungen).

Im Projekt-Ergebnis sind keine realen Eindringungswege, sondern nur die potentiellen nachgewiesen. Der Auftraggeber hat den ausführlichen Bericht über diese Wege, sowie Hinweise zur Verbesserung des Infrastrukturschutzes erhalten. Der Bericht war entsprechend den PCI DSS-Forderungen erstellt, inklusive Beschreibung der während der Arbeit eingesetzten Methodik für Penetrationsprüfung.

2. Verwaltete Sicherheit: Audits und Implementierung von ISO 27001, TISAX, usw.

• Implementierung von ISO 27001 in einem Unternehmen für medizinische Software

Ein kleines Softwareunternehmen muss sich den Anforderungen seiner Kunden stellen, um nach ISO 27001 zertifiziert zu werden. Darüber hinaus muss die Zertifizierungsstelle das höchste internationale Niveau der UKAS-Akkreditierung aufweisen.

Bisher wurden nur oberflächliche Maßnahmen ergriffen und nur gelegentliche Arbeiten im Zusammenhang mit der Informationssicherheit durchgeführt, und zwar nur im Bereich des Schutzes von Servern und Arbeitsstationen. Wir haben sofort mit der Analyse des Umfangs und der Einzelheiten des Arbeitsplans für die Erstprüfung und die Lückenanalyse begonnen. Wir haben diese Arbeit für den Kunden kostenlos durchgeführt. Danach erkannte das Unternehmen, dass wir seine Probleme verstehen und realistische Pläne erstellen können, und unterzeichnete mit uns einen Vertrag über eine Prüfung, eine Lückenanalyse und die Ausarbeitung eines Umsetzungsplans. In 3 Wochen haben wir diese Arbeit abgeschlossen. Der Kunde war erneut überzeugt, dass unsere Erfahrung und Geschwindigkeit seine Erwartungen übertreffen.

Danach hat der Kunde mit uns einen Vertrag über die Implementierung von ISO 27001 geschlossen. Wir haben 6 Monate lang alle vom Standard geforderten Kontrollen entwickelt, in 18 behördlichen Dokumenten beschrieben, eine Reihe von Sicherheitsmanagementregistern implementiert und Personalschulungen durchgeführt. Besonderes Augenmerk haben wir auf den sicheren Lebenszyklus der Softwareentwicklung gelegt.

Dann kam die Frage auf, einen unabhängigen Wirtschaftsprüfer zu wählen. Wir haben unserem Mandanten einen der größten deutschen Wirtschaftsprüfer empfohlen. Wir haben auch diesen Auditor kontaktiert und mit ihm ein Gespräch geführt und die Zertifizierung unseres Kunden im Voraus vorbereitet. Der Auftraggeber hat mit dem Abschlussprüfer eine Prüfungs- und Zertifizierungsvereinbarung abgeschlossen.

DWährend des Audits haben wir unseren Kunden und das Informationssicherheits-Managementsystem, das wir vor den Auditoren aufgebaut haben, geschützt. Die Abschlussprüfer haben wie üblich geringfügige Bemerkungen abgegeben. Wir haben diese Kommentare berücksichtigt und nach 2 Wochen erhielt unser Kunde ein offizielles ISO 27001-Zertifikat.

IUm das implementierte System zu unterstützen und das Zertifikat jährlich zu bestätigen, nutzte das Unternehmen unseren ‘Remote Security Manager-Service’.

Unser Kunde interessierte sich auch für unsere Kompetenzen nicht nur im Prozessmanagement, sondern auch in der IT-Sicherheit. Das Unternehmen bestellte uns fortschrittliche Services für Anwendungssicherheit, Quellcodesicherheitsanalyse und Penetrationstests seiner Softwareprodukte.

Das Unternehmen erhielt die Zertifikate für die Einhaltung der ISO 27001 und das erfolgreiche Bestehen einer Sicherheitsbewertung auf seiner Website und in Marketingmaterialien. Das Unternehmen warb für seinen neuen Status und verschaffte sich bedeutende Wettbewerbsvorteile, was zu einer Erhöhung der Anzahl der Bestellungen und Verkäufe führte.

• Implementierung von ISO 27001 und TISAX in einem Unternehmen, das Automobilsysteme entwickelt

Ein Vertreter der deutschen Automobilindustrie, der sich mit der Entwicklung von Fahrzeugsystemen befasst, hat sich mit uns in Verbindung gesetzt, um die Einhaltung der ISO 27001 und der Trusted Information Security Assessment Exchange (TISAX) in kurzer Zeit umzusetzen. Der starke Wettbewerb auf dem Markt für Automobilsysteme (Sicherheitssysteme, Pilot-, Navigations- und Unterhaltungssysteme usw.) zwingt führende Automobilhersteller und deren Zulieferer (Volkswagen-Audi-Konzern, Porsche, Daimler AG, BMW, Bosch usw.) die Markteinführung neuer Produkte unter Wahrung des Qualitäts- und Sicherheitsniveaus zu forcieren. Dies führte zu einer hohen Motivation unserer Kunden.

Zuvor hatte der Kunde versucht, selbstständig TISAX-Compliance-Formulare auszufüllen, aber der Mangel an erforderlichen Kompetenzen ermöglichte es ihm nicht einmal, den Implementierungsprozess ordnungsgemäß zu beginnen.

Obwohl die TISAX-Konformität auf der Grundlage von ISO 27001 erstellt wurde, hat sie ihre eigenen Besonderheiten. Im Gegensatz zu einem ISO 27001-Audit, das mehrere Tage dauern kann, verbringt ein TISAX-Auditor beispielsweise nur einen Tag im Büro des Kunden. Aber dann dauert es ungefähr 3 Monate und sammelt Beweise für jeden Sicherheitsprozess. TISAX-Prüfungsberichte setzen einen hohen Automatisierungsgrad mit modernen GRC-Klassensystemen (Governance, Risikomanagement und Compliance) voraus.

In den ersten drei Monaten nach Unterzeichnung des Vertrags mit unserem Kunden haben wir seine Geschäftsprozesse gründlich untersucht und ca. 50 Dokumente entwickelt, die für die Einhaltung von ISO 27001 und TISAX erforderlich sind. Während der Implementierung und des Audit-Reportings verwendeten wir die Systeme Redmine und Goriscon.

Insgesamt sind vom Beginn des Projekts bis zum Erhalt des TISAX-Konformitätszeichens sechs Monate intensiver Zusammenarbeit zwischen unseren Mitarbeitern und den Mitarbeitern unserer Kunden vergangen. Wir führten mehrere Schulungen durch, führten eine Reihe von Server- und Anwendungssicherheitsbewertungen durch, verbesserten die Netzwerksicherheit, die Sicherheit des Systemlebenszyklus, implementiertes Risikomanagement, KPI (Key Performance Indicators) der Sicherheit, Prozesse zur Verwaltung von Änderungen, Vorfällen usw.

Die implementierten Prozesse, Abläufe und Sicherheitssysteme müssen ständig gewartet werden, damit sie nicht an Wirksamkeit verlieren. Deshalb hat unser Kunde bei uns den Service ‘Remote Information Security Manager’ bestellt. Wir führten weiterhin regelmäßige Schulungen mit dem Kunden durch, überwachten Informationssicherheitsereignisse, reagierten auf Sicherheitsvorfälle, führten vierteljährliche Schwachstellenscans durch, überprüften den Quellcode der Software, erstatteten Bericht an die Prüfer und Kunden unserer Kunden usw. Das heißt, wir führten die Funktionen eines Informationssicherheitsmanagers vollständig aus.

Unser Kunde hat durch dieses Projekt nicht nur eine Erhöhung der Sicherheit festgestellt. Bei der Verwaltung von Assets, Zugriffen und technischen Schwachstellen wurden ineffektive Systemnutzung, redundanter Zugriff, Konfigurationsfehler, die die Netzwerkleistung beeinträchtigen, usw. festgestellt. Als Nebeneffekt des Projekts optimierte der Kunde einige seiner IT-Abläufe.

Durch die Erlangung des offiziellen Konformitätsstatus nach ISO 27001 und TISAX konnte unser Kunde bei einem der großen deutschen Automobilhersteller neue langfristige Verträge abschließen.

3. Vorfallsreaktion und Ermittlungsfälle in Bezug auf Informationssicherheit

• Hackerangriff auf die Regierung eines osteuropäischen Landes

Ein Vertreter einer großen Regierungsorganisation in einem der osteuropäischen Länder bat uns um Hilfe bei der Reaktion auf und Untersuchung eines Hackerangriffs. Die offizielle Website dieser Organisation war am Samstag ab 5 Uhr wegen des Hackerangriffs Drupalgeddon 2, der automatisch von böswilligen Skripten im gesamten Internet ausgeführt wurde, nicht mehr verfügbar.

Als Ergebnis der Analyse wurde festgestellt, dass der Angriff auf die Website keine wichtigen Daten berührte und keinen anderen Schaden anrichtete als die Ausfallzeit der Website. Diese einfache Methode hat die Arbeit und den Ruf des Unternehmens sowie die Interaktion mit den Nutzern seiner Dienste in gewissem Maße beeinträchtigt.

Wir haben die Site schnell von bösartigen Dateien befreit und wiederhergestellt, während wir Ereignisprotokolle und andere Beweise für die Übermittlung an die Polizei gesammelt haben.

Die Untersuchung wurde von uns durchgeführt, indem die Ereignisprotokolldateien verschiedener Serverdienste analysiert wurden. Es wurde festgestellt, dass von der spezifischen IP-Adresse die letzte erfolgreiche Anforderung mit einem Rückkehrcode von 200 vorhanden war, nach der keine Informationen vorhanden waren. Als nächstes wurden Site-Skripte analysiert, und es wurde festgestellt, dass ein Fragment von PHP-Code am Anfang aller ausführbaren Dateien eingefügt wurde. Dabei wurde zuerst die Protokollierung deaktiviert und dann auf codierte Weise eine Shell gestartet, die Remotebefehle zur Ausführung annehmen konnte. In der Datenbank wurden auch böswillige Beilagen gefunden.

Nach dem Bereinigen der Site und dem Sammeln von Beweisen wurde der Server gehärtet (für die Sicherheit konfiguriert), die CMS Drupal-Version aktualisiert, zusätzliche Kontrollen für vorläufige Tests eingeführt, Sicherheitsupdates installiert und eine Webanwendungs-Firewall (Web Application Firewall, WAF) eingeführt, um die Site in echtem Zustand zu schützen zeit- und hostbasiertes Intrusion Detection System (HIDS) zur täglichen Überwachung der Integrität kritischer Dateien. Wir boten der Organisation auch unsere erweiterten kontinuierlichen Website-Schutzdienste an, einschließlich, aber nicht beschränkt auf den Schutz vor DDoS-Angriffen. Die Organisation hat diesen Service abonniert.

Trotz der Tatsache, dass die Polizei die Täter des Vorfalls nicht fand, erhielt die staatliche Organisation ein neues Sicherheitsniveau für ihren Server, das es ihr ermöglichte, Übergriffe erfolgreich zu erkennen und in den nächsten Monaten bis zur Gegenwart sowohl kleinen als auch großen böswilligen Angriffen standzuhalten.

(Die Gesellschaftsbezeichnungen sind gemäß der Geheimhaltungsvereinbarung verborgen)

 

Unsere zufriedenen Kunden

Unsere Kunden sind die Gesellschaften, die auf dem Gebiet IT, E-Commerce, Industrie, Pharmazeutik, Telekommunikation, Handel, Versicherung tätig sind, sowie die Banken und die staatlichen Organisationen. Einige unserer zufriedenen Kunden:

 

Referenzen

"Das H-X-Team führte eine detaillierte Planung des Projekts durch, um die Sicherheit unserer Infrastruktur zu bewerten, einen kreativen Ansatz zu zeigen und den Plan gut umzusetzen. Die Sicherheitsbewertung lieferte wichtige Informationen zu den Prioritäten für die Verbesserung der Sicherheit im Unternehmen, zu strategischen Zielen und zu taktischen Aufgaben."

Dmitry Dneprovsky, Manager für Informationssicherheit, Intecracy Group

"Wir stehen vor ernsthaften Herausforderungen in Bezug auf die Anforderungen unserer Kunden hinsichtlich der formalen Einhaltung internationaler und industrieller Standards der Informationssicherheit. Das H-X-Team hat uns sehr schnell geholfen, aktuelle organisatorische und technische Mängel zu bewerten und zu beheben, und hilft weiterhin."

Artem Savotin, Direktor, Ameria

"Das H-X-Team führte eine technische Sicherheitsbewertung eines unserer Produkte durch und wir waren überrascht über die hohe Qualität der Ergebnisse. Die Spezialisten von H-X berieten ausführlich die sichere Softwareentwicklung. Sie haben dazu beigetragen, die Qualität unserer Entwicklungs- und Testprozesse zu verbessern."

Viktoriia Pogrebniak, IT-Managerin, FluentPro

Und inwieweit sind Sie geschützt?
Lesen Sie mehr über die Eindringungstests und prüfen Sie Ihren Schutz.


Über uns.


Unsere Zertifikate:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI