hacking for your security - penetration testing · pdf filehacking for your security -...
TRANSCRIPT
![Page 1: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/1.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Hacking for your security - Penetration Testing
Jens Liebchen - RedTeam [email protected]://www.redteam-pentesting.de
22. Februar 2006
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 2: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/2.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
”Wir wissen nicht, was fur Lucken wir haben -
deshalb juckt uns das nicht.“
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 3: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/3.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Agenda
14:00 Uhr Vorstellung Penetrationtestsund Common Failures
ab ca. 15:00 Uhr freie Diskussionund tiefergehende Fragestellungen
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 4: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/4.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Uber RedTeam
I Gegrundet 2004
I Durchfuhrung von Penetrationtests
I Teambasierte Arbeit
I Forschung im IT-Security Bereich und Veroffentlichung vonAdvisories
I Eine der wenigen auf Penetrationtests spezialisierten Firmen
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 5: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/5.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Was ist ein Pentest?
I Angriff auf ein Netzwerk im Auftrag des Eigentumers
I Fragestellung: Wie weit kann ein Angreifer eindringen?
I Gleiche Methoden wie”die Bosen“
I Vertraulichkeit (NDA)
I Endet mit ausfuhrlichem Bericht fur den Kunden
I Besonderheit bei RedTeam: Kein Test nach Norm
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 6: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/6.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Was ist ein Pentest?
I Angriff auf ein Netzwerk im Auftrag des Eigentumers
I Fragestellung: Wie weit kann ein Angreifer eindringen?
I Gleiche Methoden wie”die Bosen“
I Vertraulichkeit (NDA)
I Endet mit ausfuhrlichem Bericht fur den Kunden
I Besonderheit bei RedTeam: Kein Test nach Norm
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 7: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/7.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Was ist ein Pentest?
I Angriff auf ein Netzwerk im Auftrag des Eigentumers
I Fragestellung: Wie weit kann ein Angreifer eindringen?
I Gleiche Methoden wie”die Bosen“
I Vertraulichkeit (NDA)
I Endet mit ausfuhrlichem Bericht fur den Kunden
I Besonderheit bei RedTeam: Kein Test nach Norm
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 8: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/8.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Was ist ein Pentest?
I Angriff auf ein Netzwerk im Auftrag des Eigentumers
I Fragestellung: Wie weit kann ein Angreifer eindringen?
I Gleiche Methoden wie”die Bosen“
I Vertraulichkeit (NDA)
I Endet mit ausfuhrlichem Bericht fur den Kunden
I Besonderheit bei RedTeam: Kein Test nach Norm
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 9: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/9.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Methodik
I Black- und Whiteboxtesting
I Externe oder interne Sichtweise
I In der Praxis: Blackboxansatz meist erfolgreich
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 10: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/10.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Grundsatzliches
I Ein Pentest ist kein AuditI Die getesteten Netzwerke sind in der Regel komplex, daher:
I Normalerweise nicht besonders verdeckt (viele Logmeldungen)I Pentests sind ergebnisorientiert
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 11: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/11.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Grundsatzliches
I Ein Pentest ist kein AuditI Die getesteten Netzwerke sind in der Regel komplex, daher:
I Normalerweise nicht besonders verdeckt (viele Logmeldungen)I Pentests sind ergebnisorientiert
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 12: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/12.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die vier Phasen
I Reconnaissance
I Enumeration
I Exploitation
I Bericht und Vorstellung der Ergebnisse beim Kunden
Sehr idealisiert, in der Praxis oft vermischt. Hierdurch schnellereErgebnisse fur den Kunden.
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 13: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/13.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 14: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/14.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 15: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/15.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 16: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/16.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 17: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/17.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 18: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/18.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 19: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/19.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Reconnaissance (Aufklarung)
I Homepages
I Google
I DNS
I Whois
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 20: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/20.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Enumeration: Finden von Angriffsvektoren
I Port scanning
I (Verwundbare) Versionen von Diensten/Systemen feststellen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen
I Sonstige kreative Ideen
Aufgrund der Menge: Keine vollstandige Suche, stattdessen genauwie ein echter Angreifer:
”Hauptsache, rein!“
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 21: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/21.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Exploitation
Ausnutzen von Sicherheitslucken:
I Verifizieren: Haben wir wirklich eine Lucke?
I Was konnen wir durch Ausnutzen der Lucke erreichen?
I Angriff, sofern Risiko des Angriffs nicht zu hoch (gerade beiLivesystemen)
I Nach erfolgreichem Angriff startet wieder Reconnaissance
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 22: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/22.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Exploitation
Ausnutzen von Sicherheitslucken:
I Verifizieren: Haben wir wirklich eine Lucke?
I Was konnen wir durch Ausnutzen der Lucke erreichen?
I Angriff, sofern Risiko des Angriffs nicht zu hoch (gerade beiLivesystemen)
I Nach erfolgreichem Angriff startet wieder Reconnaissance
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 23: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/23.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Joker
Was sind Joker, wofur braucht man die?
I Zeit/Geld sparen
I Software konnte in Zukunft verwundbar sein
I Angreifer konnten einen eigenen Exploit entwickeln
I Testen von Second-Line-Defense
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 24: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/24.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Motivation fur die Durchfuhrung eines Pentests
I Wie sicher sind wir wirklich?I Realitatsnahe Uberprufung der eigenen MaßnahmenI Angst vor IndustriespionageI Vorbeugung von
”Betriebsblindheit“
I Kontrollsystem vom Gesetz vorgeschrieben
I Indirekte GrundeI Werbung/ImagegewinnI Schutz der eigenen Kunden (netzwerkbasierende Produkte)
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 25: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/25.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Motivation fur die Durchfuhrung eines Pentests
I Wie sicher sind wir wirklich?I Realitatsnahe Uberprufung der eigenen MaßnahmenI Angst vor IndustriespionageI Vorbeugung von
”Betriebsblindheit“
I Kontrollsystem vom Gesetz vorgeschrieben
I Indirekte GrundeI Werbung/ImagegewinnI Schutz der eigenen Kunden (netzwerkbasierende Produkte)
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 26: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/26.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Resultate: Was bringt ein Pentest?
I Zeigt punktuell relevante Schwachstellen(klassen) auf
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 27: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/27.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Resultate: Was bringt ein Pentest?
I Zeigt punktuell relevante Schwachstellen(klassen) auf
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 28: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/28.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Resultate: Was bringt ein Pentest?
I Zeigt punktuell relevante Schwachstellen(klassen) auf
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 29: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/29.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 30: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/30.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 31: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/31.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 32: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/32.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 33: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/33.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 34: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/34.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI Insbesondere Software, die nicht im Online Update des
Systems istI Nicht mehr vom Hersteller gepflegte Software/Betriebssysteme
I Schwache PassworterI Unsichere Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles sicher zukonfigurieren
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 35: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/35.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 36: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/36.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 37: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/37.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 38: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/38.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 39: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/39.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 40: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/40.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles → Autostartordner. . .
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I”Verdachtiges“ wird nicht weitergemeldet
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 41: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/41.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Die ublichen Verdachtigen Teil 2
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing
![Page 42: Hacking for your security - Penetration Testing · PDF fileHacking for your security - Penetration Testing Jens Liebchen - RedTeam Pentesting ... I Insbesondere Software, die nicht](https://reader034.vdocuments.site/reader034/viewer/2022042620/5a9df28c7f8b9ada718b9664/html5/thumbnails/42.jpg)
Uber RedTeamWas ist ein Pentest
Ablauf eines PentestsResultate eines Pentests
Ubliche Fehler
Fragen / freie Diskussion
Jens Liebchen - RedTeam Pentesting Hacking for your security - Penetration Testing