Morgen beginnt mit den ersten Tutorials das Frühjahrsfachgespräch in Frankfurt. Letzter Appetithappen, bevor wir direkt vom FFG berichten: Ein Gespräch mit Michael Messner, ebenfalls schon lange im GUUG- und FFG-Umfeld bekannt und geschätzt. Er berichtet in diesem Interview über seinen Vortrag sowie das Metasploit-Tutorial, das er am Mittwoch hält.
Michael, als Freiberuflerin arbeite ich meistens im Homeoffice, aber auch sehr viel per Notebook oder iPad von unterwegs. Gelegentlich sitze ich auch direkt bei Auftraggebern und nutze deren Netzwerk. Und damit immer alles bei mir ist, liegen ToDo-Listen und Texte bei Google Drive und in der Dropbox. Bin ich der Albtraum aller IT-Sicherheitsberater?
Dieser Trend, möglichst viele Services in die „Cloud“ zu legen, bietet Dir unglaubliche Flexibilität und dadurch auch wieder Möglichkeiten, Deinen Job besser und effektiver zu erledigen. Jeder, der solche Dienste nutzt, sollte sich aber auch ein paar Gedanken zu den Daten machen, die er dort ablegt.
Niemand würde wohl seine Zugangsdaten zu seinem Bank-Account dort unverschlüsselt hinterlegen. Es ist beispielsweise wichtig, mit sensiblen Kontaktinformationen vorsichtig umzugehen und diese entweder nicht oder nur verschlüsselt und mit entsprechendem Zugriffsschutz zu hinterlegen.
Damit wird bereits eine Art Datenklassifizierung durchgeführt. Bei einer solchen Bewertung wird entschieden welches Sicherheits- bzw. Schutzniveau diese Daten umfassen müssen. Kritische Daten werden im weiteren Verlauf nur verschlüsselt mitgeführt, abgelegt und übertragen. Unternehmen führen solche Datenklassifizierungen ebenso durch, nur in erheblich größerem Umfang. Bei solchen Projekten beschäftigt man sich auch ganz schnell mit Themen wie Data Loss Prevention. Dabei soll verhindert werden, dass sensible Daten unkontrolliert vom Unternehmen abfließen können.
Kürzlich hast Du Schlagzeilen gemacht: In mehreren Blogbeiträgen hast Du Sicherheitslücken bei mehreren Router-Modellen aufgedeckt. Wie bist Du auf diese Probleme aufmerksam geworden – und wie haben die Hersteller insbesondere auf die darauf folgende Berichterstattung bei heise.de reagiert?
Eigentlich handelt es sich dabei um ein kleines Hobby von mir. Wenn ich bei mir zuhause ein neues Gerät in mein Netzwerk einbinde, führe ich meistens einen ersten kleinen Test durch und schaue, wie sich dieses Gerät im Netzwerk präsentiert und ob es kritische Schwachstellen aufweist.
Im Rahmen dieser kurzen Analysen kamen im Laufe der Zeit immer mehr gravierende Schwachstellen zum Vorschein. Einige dieser Schwachstellen eignen sich beispielsweise dazu, ohne Authentifizierung Kommandos auf Ebene des Betriebssystems des Routers auszuführen. Dabei handelt es sich um das schlimmste Szenario, was man sich ausmalen kann. Ein Angreifer kann deinen Router, der als Gateway ins Internet fungiert, erfolgreich angreifen und kontrolliert dadurch den vollständigen Datenfluss von dir ins Internet und zurück.
In meinem Vortrag werde ich ein paar Highlights der erkannten Schwachstellen vorstellen – und natürlich wird auch die Reaktion der Hersteller ein interessanter Punkt dieses Vortrages sein.
Neben Deinem Vortrag zu den „Home Network Horror Stories“ hältst Du ein bereits ausgebuchtes (!) Tutorium zu Metasploit. Was können die Teilnehmer dort lernen?
Es freut mich, dass dieses Tutorium so schnell ausgebucht war. Das Interesse der Teilnehmer zeigt, dass offensive Sicherheitsmethoden eine immer größere Akzeptanz im IT-Sicherheitsprozess genießen. Gerade das Metasploit Framework bietet umfangreiche Möglichkeiten, um potentielle Schwachstellen zu testen und dementsprechend das Gefährdungspotential für ein Unternehmen besser darzustellen.
Im Rahmen dieses Tutoriums werden wir einen Schnelleinstieg in das Framework wagen. Dabei beginnen wir mit einem kurzen Überblick zu Penetration-Testing und Metasploit und werden dann in einer Fülle von Live Demos dessen praktische Anwendung demonstrieren. Am Nachmittag werden erweiterte Angriffsszenarien betrachtet, die mit etwas kreativer Herangehensweise ganz neue Möglichkeiten des Frameworks bieten.
Wir haben auch einen ganz tollen Überraschungsgast der uns weitere spannende Anwendungsmöglichkeiten des Frameworks in Kombination mit weiteren Tools zeigt. Ich bin schon sehr gespannt …
Mike, danke für den kurzen Einblick – wir sehen uns dann ab Mittwoch in Frankfurt!
Interview: Corina Pahrmann