Klausur

Question 1

Arten von Sicherheitsbewertungen?

Answer 1

1. Dokumentationsanalyse
2. Interviews
3. Technische Tests

Question 2

Technische Tests?

Answer 2

1. Schwachstellen-scan (Automatisch)
2. Teilmanueller Scan (Manuelle Verifikation)
3. Penetrationstest (Handarbeit)

Question 3

Defnition Penetration Testing?

Answer 3

Prüfung der Sicherheit möglichst aller
Systembestandteile und Anwendungen eines
Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. „Hacker“) anwenden würde.

Question 4

Hackerparagraph?

Answer 4

§202 Verletzung des Briefgeheimnisses
§202a Ausspähen von Daten
§202b Abfangen von Daten
§202c VOrbereiten des Ausspähens und Abfangens von Daten

Question 5

Genehmigung für die Durchführung?

Answer 5

1. Provider
2. System Owner und Operator
3. Application Owner und Operator
4. Database Operator
5. Data Owner / Business Owner
6. Betriebsrat?
7. Datenschutzbeauftragter?
8. Incident-Response-Team?
9. usw.

Question 6

Durchführungskonzept für Penetrationstests?

Answer 6

1. Informationsbasis
2. Aggressivität
3. Umfang
4. Vorgehensweise
5. Technik
6. Ausgangspunkt

Question 7

Testvarianten der Informationsbassis?

Answer 7

1. Blackbox / Zero-Knowledge
2. Greybox
3. Whitebox

Question 8

Testvarianten von Aggressivität?

Answer 8

1. Passiv (kein Ausnutzen von Schwachstellen, minimales Risiko)
2. vorsichtig (Ausnutzug von Schwachstellen, wenn davon i.d.R. keine Gefahr ausgeht)
3. abwägend (Abwägung Risiko vs. Erfolgswahrscheinlichkeit. z.B. Brute Force pws)
4. aggresiv (hohes Risiko (Ausfall vieler Komponenten möglich)
   hoher Erkenntnisgewinn z.B. AUsnutzung von Buffer-Overflow Schwachstellen bei nich eindeutig identifizierten Zielen)

Question 9

Testvarianten von Umfang?

Answer 9

1. fokussiert (Prüfung einzelner Systeme z.B. bei Erweiterung der Systemlandschaft, geringer Erkenntnisgewinn: neue Systeme sind häufig seher sicher)
2. begrenzt (Beschränkung auf bestimmte Systemgrupppen / Repräsentanten)
3. vollständig (hoher Erkenntnisgewinn, evtl. lange Testdauer)

Question 10

Varianten der Vorgehensweise?

Answer 10

1. Verdeckt (nur ein minimaler Personenkreis weiß über den Test Bescheid, Prüfung sekundärer Sicherheits-Systeme / Eskalations-Prozeduren, vorsichtige Tests (Stealth))
2. offensichtlich (gesteigerte Effizienz durch Automatisierung, schnellere Reaktion auf mögliche Probleme (DoS))

Question 11

Ausgangspunkte?

Answer 11

1. von außen (Test der DMZ, wenig Systeme mit wenig erreichbaren Diensten, vollständige Betrachtung aller Dienste möglich)
2. von innen (Zugriff auf Systeme ohne Firewalls, viele Systeme mit vielen erreichbaren Diensten, eher stichprobenhaft (Sampling), Netzwerkverkehr kann mit analysiert werden, Bildet Praktikanten-Szenario ab.)

Question 12

Phasen eines Pentests?

Answer 12

1. Vorbereitung
2. Informationsbeschaffung
3. Bewertung der Informationen
4. Aktive Angriffe
5. Abschlussanalyse

Question 13

Klassifizierung von Schwachstellen?

Answer 13

Ist erforderlich

• Vergleichbarkeit
• Priorisierung.

Typische Fragen:

1. Wie gut sind wird?
2. Wie sind wir im Vergleich mit anderen?
3. Wie ist der Trend userer Sicherheit?

Question 14

CVSS?

Answer 14

Common Vulerability Scoring System (CVSS)

1. Bewertungssystem für Sicherheitslücken
2. Bewertung nach Faktem kein (wenig) Interpretationsspielraum
3. Vergleichbarkeit von Schwachstellen

Question 15

CVSS Probleme?

Answer 15

1. Abschalten der Verschlüsselung minimiert CVSS-Score
2. Es bleibt Interpretationsspielraum

Daher Verbesserungen:
CVSS Temporal Score und CVSS Enivronmental Score

Question 16

Einfache Klassifizierung?

Answer 16

1. Kritisch (Kompromittierung von Systemen oder Daten mit einfachen Mitteln möglich)
2. Hoch (Erforderlicher aufwand zur Kompromittierung ist deutlich höher)
3. Mittel (Sicherheitslücken, die erst zusammen mit weiteren, auch menschlichen, Komponenten geeignet sind, einen Sicherheitsvorfall zuzulassen)
4. Niedrig (Schwächen, die keine Änderung oder Einsichtnahme durch nicht authentisierte Angreifer zulässt Aunutzung nur theoretisch / Laborcharakter)
5. Information Leaks (Preisgabe von Informationen, die weitere Angriffe erleichtern: Versionsinofrmationen, Benutzernamen etc.)

Question 17

Ziele von Penetration Testing?

Answer 17

1. Einheitliches Vorgehen / Vergleichbarkeit von Prüfungen
2. Verringerung von Test-Risiken
3. Einheitliche Ausbildung neuer Prüfer
4. Wirtschaftlicher Umgang mit knappen Ressourcen (Zeit, Personal, Hardware, Software)
5. Nichts Wesentliches übersehen

Question 18

OWASP?

Answer 18

Open Web Application Security Project

• TOP 10
• Application Security verfication Standard

OSSTMM (Open Source Security Testing Methodology Manual)
BSI: Durfürungskonzept für Penetrationstests

Question 19

Footprinting?

Answer 19

Ermittlung von:

1. IP-Adressen
2. Domain-Namen
3. E-Mail-Adressen

Werkzeuge:

1. Extern:
2. 1 Whois-Datenbank
3. 2 Suchmaschinen
4. 3 DNS-Zonentransfer
5. 4 Mailserver, ….
6. Intern:
7. 1 Sniffen
8. 2 Lesen, …

Question 20

Scanning?

Answer 20

1. Aktive Systeme finden (Host Discovery)
2. Aktive Dienste finden (TCP - und UDP-Portscan)
3. Dienste identifizieren

Question 21

Host Discovery methoden?

Answer 21

1. Ping Sweep
   - ICMP Echo (ping) Requests
   - sehr schnell
   - Problem: Firewall
2. Portscan
   - zuverlässig
   - dauert länger
   - Mittelweg: nur wenige Ports scannen

Question 22

Portscan unterschiede Open, Closed, filtered?

Answer 22

1. Port Open wenn, nach SYN ein SYN+ACK zurück kommt
2. Closed wenn nach Syn ein RST zurück kommt
3. Filtered wenn nach SYN nichts zurück kpommt.

Question 23

SYN und Connect Scan?

Answer 23

SYN-Scan: Nach Antwort auf SYN-Paket wird RST geschickt. Keine
vollständigen TCP-Verbindungen. Benötigt root-Rechte (RAW Sockets)

Connect-Scan: Aufbau von vollständigen TCP-Verbindungen. Funktioniert
auch ohne Root-Rechte, weil OS-API genutzt werden kann. Langsamer.

Question 24

Well-Known-Ports?

Answer 24

21: FTP
22: SSH
53: DNS
80: HTTP
443: HTTPS
445: SMB
3306. MySQL
3389: Remote Desktop

Question 25

Enumeration?

Answer 25

Ermittlung weiterer Informationen:

1. Versionsstand von Software
2. Installierte Patches
3. Betriebssystem
4. Benutzerkonten
5. Laufende Dienste

Question 26

Arten von SQL-Injection?

Answer 26

1. Boolean-based blind
2. Error-based
3. Union-based
4. Stacked Queries (blind)
5. Time-based blind

Question 27

External Entity Injection?

Answer 27

Trend: Microservices
• Einsatz von APIs (SOAP, REST, RPC, RFC, …)
• Bei XML:

]>&xxe;

Question 28

XSS?

Answer 28

OWASP A7

• Ausgabe ungefilterter Benutzereingaben auf Webseite
• Modifizierung der Webseite durch zusätzliche HTML-
oder JavaScript-Tags Gefahren:
1. Veränderung des Aussehens der Seite (Defacement)
2. Nachladen von Schadcode (Drive-by-Download)
3. Stehlen von Sitzungsbezeichnern (Session-Hijacking)
4. Kopieren vertraulicher Informationen (z.B. Passwörter,
Kreditkartendaten, SSN)

Question 29

Arten von Cross-Site Scripting?

Answer 29

1. Reflected / Non-Persistent Cross-Site Scripting
2. Persistent / Stored Cross-Site Scripting
3. DOM-based Cross-Site Scripting

Question 30

Interne Penetrationstests?

Answer 30

Situation
• Wesentlich größere Anzahl an Systemen
• Wesentlich größere Anzahl an Diensten
• Veraltete Software
• Schwache Konfigurationen
• Physischer Zugriff
• Aber auch Firewalls und Netz-Segmente

Question 31

Techniken für interne Penetrationtests?

Answer 31

Techniken
• Man-in-the-Middle-Angriffe
• Tunneling
• Exploiting

Question 32

Warum Penetrationstests?

Answer 32

1. Fremdkontrolle ist Selbstkontrolle überlegen
2. Der „bezahlte Hacker“ verfügt über viel Erfahrung
3. ISO 27001 (Penetrationstests als Teil eines ISMS)
4. Regulierung (PCI, BaFIN: regelmäßige Prüfungen der IT-Sicherheit vorgeschrieben)
5. IT-Sicherheitsgesetz (Für Kritische Infrastruktur regelmäßige Prüfungen vorgeschrieben)
6. Aus Eigeninteresse (Penetrationstests sind ein wirkungsvolles Mittel, Risiken transparent zu
   machen und durch nachgelagerte Maßnahmen zu reduzieren)

Question 33

Wann kommt es zum Risiko?

Answer 33

Wenn Vulnerability, Threat und Asset aufeinander treffen

Question 34

OWASP A1?

Answer 34

Injection

• Schwachstelle: Nicht vertrauenswürdige Date werden an einen Interpreter übergeben
• SQL, OS-Commands, LDAP, Xpath, …
• Zugriff auf Daten ohne Autorisierung

Question 35

OWASP A2?

Answer 35

Broken Authentication

• Fehler in Anmeldung / Sitzungsmanagement kompromittieren die ganze Anwendung
• Angriffe:
  1. Cookies stehlen
  2. Sitzung übernehmen
  3. Passwörter ermitteln

Question 36

Session Hijacking?

Answer 36

• Brute Force: Hierbei werden sukzessive unterschiedliche IDs generiert und auf Gültigkeit getestet.
• Berechnung: Schlecht vergebene Session-IDs liegt ein einfacher Algorithmus für die Berechnung zu Grunde. Dies ermöglicht es einem Angreifer, die ID einer gültigen Session zu errechnen.

• Cross-Site Scripting: Die Session-IDs bereits authentifizierter Benutzer werden durch Ausnutzung einer Cross-Site Scripting-
Schwachstelle gestohlen.

• Sniffen: Einem Angreifer in einer Man-in-the-Middle-Position gelingt es, den Sitzungsbezeichner aus dem Netzwerkverkehr zu extrahieren.

Question 37

OWASP A3?

Answer 37

Sensitive Data Exposure

Preisgabe sensibler Daten
• PII (Pers.-bezogene Daten)
• Finanz-/HR-/Gesundheits-/…-/daten

Schwachstellen
• fehlende / unzureichende Verschlüsselung (transit/rest)

• Verwendung von Passwort-Hashes ohne Salt

• automatische Ver-/Entschlüsselung beim
Datenbankzugriff

• Ausgabe von Passwörtern, Kreditkartennummern, etc.
in Serverantwort

Question 38

Ziele SSL-Verschlüsselung?

Answer 38

Der Einsatz von SSL hat folgende Ziele:

• Authentizität (SSL-Zertifikate)
• Integrität („Prüfsumme“, MAC)
• Vertraulichkeit (Verschlüsselung)

Question 39

Schwachstellen SSL-Konfiguration?

Answer 39

• Nicht vertrauenswürdiges SSL-Zertifikat
• Veraltetes SSL-Zertifikat
• Einsatz des falschen Zertifikats
• Unterstützung von SSLv2
• Unterstützung kurzer Schlüssellängen
• Unterstützung unsicherer Chiffren: RC4
• Kompression vor der Verschlüsselung
• Neuaushandlung der Verschlüsselungsparameter
• Veraltete SSL-Komponenten (z.B. Heartbleed)

Question 40

SSL Heartbleed?

Answer 40

• Schwachstelle in bestimmten OpenSSL-Versionen

• erlaubt einem Angreifer, einen zufälligen Speicherbereich des Server-Prozesses auszulesen
(Information Disclosure-Schwachstelle)

• zahlreiche Tools zum Ausnutzen online verfügbar

• ermöglicht Zugriff auf
– Session Tokens
– Passwörter
– privates Schlüsselmaterial

Question 41

OWASP A4?

Answer 41

External Enitiy Injection

• Trend: Microservices
• Einsatz von API’S (SOAP, REST, RPC, RFC, …)

Schwachstellen bei:

• Billion Laughs Attack
• Fehlende/Fehlerhafte Authentisierung
• Fehlende/Fehlerhafte Autorisierung
• Fehlende/Fehlerhafte Verschlüsselung
• Injection (SQL, OS Command, LDAP, XML, …)

Question 42

OWASP A5?

Answer 42

Broken Access Control

Direkter Zugriff auf Objekte, z.B. über ID

Beispiel:
• User hat Zugriff auf Objekt Nummer 100

• ww.example.com/show.aspx?id=100
• kann aber durch URL-Manipulation auch auf Objekte 101, 102, … zugreifen
• ww.example.com/show.aspx?id=101

Question 43

OWASP A6?

Answer 43

Security Misconfiguration

Fehlerhafte Konfigurationen können z.B. sein

• Default-Einstellungen
• Dienste im Internet erreichbar
• Zugriff auf Administrations-Interfaces
• aktiviertes Directory Listing
• Schreibrechte im Webroot
• Backup-Dateien
• Test-Accounts auf Produktivsystemen
• Beispielscripte auf Produktivsystemen
• Ausgabe von Fehlermeldungen an den Benutzer

Question 44

OWASP 7?

Answer 44

Cross-Site Scripting (XSS)

• Ausgabe ungefilterter Benutzereingaben auf Webseite

• Modifizierung der Webseite durch zusätzliche HTML-
oder JavaScript-Tags

Question 45

Gefahren von XSS?

Answer 45

• Veränderung des Aussehens der Seite (Defacement)
• Nachladen von Schadcode (Drive-by-Download)
• Stehlen von Sitzungsbezeichnern (Session-Hijacking)

• Kopieren vertraulicher Informationen (z.B. Passwörter,
Kreditkartendaten, SSN)

Question 46

OWASP A10?

Answer 46

Insuficcient Logging &
Monitoring

“Eigentlich” können Angriffe gut und schnell erkannt werden

Detect (z.B. WAF, ungültige Eingaben, zu
schnelle Request-Folge)
Respond (z.B. IP-Adressen oder Nutzer sperren)

Question 47

Rechteausweitung unter Linux?

Answer 47

• Kerner Exploits
• Exploit lokaler Dienste
• suid-Programme
• sudo-konfiguration
• lesbare private ssh-schlüssel
• Austausch von Programmdateien (Cronjobs, priviligierte Scripte, …)
• Passwörter die rumliegen

Question 48

Burp Intruder?

Answer 48

• Tool zum Automatisierten Durchprobieren von Parametern z.B. PW-Angriffe
  1. Positionen definieren

2. Angriffstyp definieren
   - Sniper: Eine Payload nacheinander in verschiedene Positionen

• Battering Ram: Eine Payload gleichzeitig in versch. Positionen
• Pitchfork: Je ein Parameter aus jedem Payload-Set
• Cluster Bomb: Alle Kombinationen aus den Payload-Sets

3. Payloads definieren (Listen, Zahlen, Dateinamen, Brute-
   Force, usw…)
4. zurücklehnen und zugucken

Question 49

Arten von Spuren?

Answer 49

• Zugriff auf lokale pw-hashes (LM/NTLM)
• Zugriff auf klartext-pw angemeldeter user im RAM
• Zugriff auf Access tokens
• Zugriff auf domain cached credentials

Question 50

Wieso nur open/closed bei Connect-Scan?

Answer 50

Connect-Scan bewirkt einen connect()-Systemaufruf und die Verbindung wird anstatt von nmap vom Betriebssystem aufgebaut. Das OS kennt kann nur zwischen bestehender (vollständiger) und nicht bestehender Verbindung unterscheiden, daher gibt es nur die Ausgabe open/closed.

Question 51

Schwachstellen von LM-Hashes?

Answer 51

◦ Maximal 14 Zeichen

◦ Umwandlung aller Buchstaben in Großbuchstaben (reduziert die Entropie)

◦ Teilen in zwei Hälften à 7 Zeichen (ermöglicht es, beide Teile separat anzugreifen/ bei PW mit Länge <=7 ist der zweite teil immer statisch =0)

◦ Verwendung von DES

◦ Keine Verwendung von Salt kann über Rainbow-Tables angegriffen werden

Question 52

Warum nennt man Metasploit auch einen Exploit-Baukasten?

Answer 52

Weil Metasploit verschiedene Komponenten hat (z.B. Scanner-Modul, Exploit-Modul, Payloads), die baukastenartig zu einem Angriffswerkzeug kombiniert werden können.

Question 53

Was kann man gegen CSRF tun?

Answer 53

◦ Ein geheimes Token einführen, das nur schwer vom Angreifer erraten werden kann.

◦ Dieses wird bei jedem Seitenaufruf der Webanwendung als Parameter in URLs oder als verstecktes Element (Hidden-Field) in Formularen mit übertragen.

◦ Die Webanwendung prüft bei jedem Client-Request, ob das übertragene Token mit dem zur Sitzung hinterlegten Wert übereinstimmt. Im Fehlerfall wird der angeforderte Aufruf abgelehnt.

◦ Ohne Kenntnis dieses Tokens kann ein Angreifer keinen gültigen HTTP-Request nachstellen.

Question 54

Erkläre Time-Based Blind SQL-Injection.

Answer 54

Ein Angreifer sendet SQL-Queries und beobachted die zeitlichen Differezen zwischen den Antworten. Die Antwortzeit lässt darauf schließen, ob das Ergebnis der Query wahr oder falsch ist. Abhängig vom ergebnis erfolgt die HTTP-Response sofort oder mit zeitlicher Verzögerung. Aus der DB selbst werden keine Daten zurückgegeben. Der Angriff ist langsam, da der Datenbankinhalt bit für bit enumeriert werden muss.

Ein Angreifer errät dabei jedes Zeichen des gewünschten Datums auf folgende Weise:
Ist erste Bit 1 wenn ja pause, wenn Ausführung verzögert erste bit = 1 wenn nicht erste bit 0. Usw.