„Unser Netz ist sicher!“, ist eine mutige Aussage, die oft leichtfertig getroffen wird. Die Realität sieht meist anders aus. Wie es tatsächlich um die Sicherheit steht, wird oft erst klar, wenn ein Hacker versucht, ins Netzwerk einzudringen.
In diesem Vortrag zeigen wir, warum man einen Penetrationstest benötigt, wie er abläuft und wie ein Penetrationstester dabei vorgeht. Anhand praktischer Erfahrungen wird erläutert, wie ein Penetrationstest von der Beauftragung bis zur Abschlusspräsentation abläuft. Wie ein Penetrationstester dabei versucht, sich in die Rolle eines Hackers zu versetzen. Zunächst werden öffentliche Informationen über das Unternehmen und dessen Infrastruktur gesammelt. Oft finden sich im Internet bereits Passwörter von Mitarbeitern, die auf anderen Webseiten verwendet wurden und immer noch für den VPN-Zugang verwendet werden können. Die Ziele werden dann auf mögliche Schwachstellen untersucht. Seien es triviale Standardzugangsdaten, SQL-Injections oder komplexere Buffer-Overflows. Mögliche Funde werden dann ausgenutzt, um weitere Privilegien in der Infrastruktur oder weitere nützliche Informationen zu erhalten, bis man die Rechte des Domänenadminstrators oder die Excel-Liste mit allen Infrastrukturpasswörtern gefunden hat.