Die Software weist garantiert Fehler auf. Eine Software kann viele tausend Zeilen Code enthalten, und die menschliche Fehlbarkeit führt dazu, dass zumindest einige davon nicht wie beabsichtigt vollständig sind. Der Softwareentwicklungslebenszyklus ist ein Prozess, der darauf abzielt, diese Probleme durch regelmäßige Tests zu minimieren.
Das Problem besteht darin, dass Tests häufig von Entwicklern durchgeführt werden, die möglicherweise gelernt haben, wie man etwas programmiert, aber möglicherweise keine sicheren Codierungspraktiken erlernt haben. Selbst in gründlich getesteten Systemen kann ein Blick von außen und das Einbringen einer neuen Perspektive dabei helfen, neue Probleme zu erkennen.
Eine übliche Methode hierfür ist ein Penetrationstest, der üblicherweise als Pentest abgekürzt wird. Dazu müssen Sie einen professionellen, ethischen Hacker, einen Pentester, damit beauftragen, sich das System anzusehen und etwaige Sicherheitsprobleme zu finden.
Tipp: Es heißt „Pentest“ und „Pentester“, nicht „Pentest“. Ein Pentester testet keine Stifte. „Pen-Test“ ist etwas akzeptabler als „Pen-Test“, sollte aber im Allgemeinen ebenfalls vermieden werden.
Das Ziel eines jeden Pentests besteht darin, alle Sicherheitslücken im getesteten System zu identifizieren und diese dem Kunden zu melden. Typischerweise sind Engagements jedoch aus Kostengründen etwas zeitlich begrenzt. Wenn ein Unternehmen über einen internen Pentester oder ein Pentest-Team verfügt, können diese dauerhaft für das Unternehmen arbeiten. Dennoch verfügen viele Unternehmen mit der entsprechenden Größe über ein breites Portfolio an Systemen, die getestet werden müssen. Hierzu zählen sowohl die verkauften Produkte als auch die Geschäftssysteme des Unternehmens.
Daher können sie nicht ihre ganze Zeit damit verbringen, eine Sache zu testen. Viele Unternehmen ziehen es vor, ein externes Pentesting-Unternehmen mit der Durchführung des Auftrags zu beauftragen. Dies ist aufgrund der Kosten noch zeitlich begrenzt. Die Kosten werden durch die Tatsache verursacht, dass ein Pentest ein sehr manueller Prozess ist und Fachkenntnisse Mangelware sind.
Normalerweise ist ein Pentest auf einen bestimmten Zeitraum beschränkt. Dies geschieht basierend auf dem jeweiligen Ziel und wie lange es dauern sollte, bis man einigermaßen sicher sein kann, alles gefunden zu haben. Der Zeitplan für die Suche nach Schwachstellen ist im Allgemeinen eine Glockenkurve. Wenn sich der Pentester in der Anwendung umsieht, wird nicht viel sofort gefunden. Dann kann die überwiegende Mehrheit der Ergebnisse innerhalb einer bestimmten Zeitspanne erzielt werden, bevor die Dosis abnimmt. Irgendwann sind die Kosten für mehr Zeit mit der Suche die Chance nicht mehr wert, dass es nichts anderes zu finden gibt.
Manchmal ist sogar der angegebene Preis für die empfohlene Zeit zu hoch. In diesem Fall kann der Test „zeitgesteuert“ sein. Hier akzeptiert der Kunde, dass er nicht so viel testet wie empfohlen, sondern möchte, dass die Pentester in einem kürzeren Zeitrahmen das Beste tun, was sie können. Normalerweise wird dies als Vorbehalt in den Bericht aufgenommen.
Es stehen einige Tools zur Verfügung, um Sicherheitstests automatisch durchzuführen. Diese können nützlich sein. Allerdings weisen sie häufig hohe Falsch-Positiv- und Falsch-Negativ-Raten auf. Das bedeutet, dass Sie Zeit damit verbringen müssen, sich durch die Überprüfung von Problemen zu wühlen, obwohl Sie wissen, dass diese möglicherweise nicht vollständig sind. Die meisten dieser Tools suchen nach bestimmten Indikatoren, beispielsweise nach bekannten anfälligen Softwareversionen oder bekannten anfälligen Funktionen. Es gibt jedoch viele Möglichkeiten, wie diese Probleme nicht wirklich auftreten oder in der Praxis abgemildert werden können.
Sicherheitslücken können aus einer Ansammlung scheinbar harmloser Teile entstehen. Der beste Weg, dies zu erkennen, ist die manuelle menschliche Anstrengung. Pentester verwenden Tools, wissen jedoch, wie sie die Ergebnisse interpretieren, manuell überprüfen und unabhängige manuelle Aktionen durchführen. Dieser manuelle Aufwand unterscheidet einen Pentest von einem Schwachstellenscan oder einer Schwachstellenbewertung.
Typischerweise umfasst ein Pentest das Testen eines gesamten Produkts so, wie es bereitgestellt werden würde. Idealerweise geschieht dies in einer realen Produktionsumgebung. Dies ist jedoch nicht immer praktikabel. Erstens besteht die Befürchtung, dass der Pentest das Ziel offline werfen könnte. Im Allgemeinen ist diese Angst im Wesentlichen unbegründet. Pentests erzeugen im Allgemeinen nicht zu viel Netzwerkverkehr, möglicherweise das Äquivalent von ein paar zusätzlichen aktiven Benutzern. Pentester testen auch nicht absichtlich auf Denial-of-Service-Probleme, insbesondere in Produktionsumgebungen. Stattdessen melden sie in der Regel mutmaßliche Denial-of-Service-Probleme, damit der Kunde das Problem selbst untersuchen kann.
Darüber hinaus ist es erwähnenswert, dass das System, wenn es mit dem Internet verbunden ist, ständig „kostenlosen Pentests“ durch echte Black-Hat-Hacker und ihre Bots ausgesetzt ist. Ein weiterer Grund, Produktionsumgebungen zu meiden, sind Datenschutzprobleme bei Live-Benutzerdaten. Pentester sind ethische Hacker im Rahmen von Geheimhaltungsvereinbarungen und Verträgen, aber wenn eine Testumgebung vorhanden und ähnlich ist, kann diese verwendet werden.
Tipp: Ein „kostenloser Pentest“ ist eine scherzhafte Bezeichnung für den Angriff von Black Hats im Internet.
Pentests können grundsätzlich gegen jedes technische System durchgeführt werden. Websites und Netzwerkinfrastruktur sind die häufigsten Arten von Tests. Sie erhalten außerdem API-Tests, „Thick Client“-Tests, mobile Tests, Hardwaretests und mehr.
Realistisch gesehen sind Phishing-, OSINT- und Red-Team-Übungen verwandt, unterscheiden sich jedoch geringfügig. Sie sind sich wahrscheinlich der Bedrohung durch Phishing bewusst. Bei einigen Tests wird getestet, wie Mitarbeiter auf Phishing-E-Mails reagieren. Durch die Verfolgung, wie Benutzer mit dem Phishing-Angriff interagieren – oder auch nicht – können Sie lernen, wie Sie künftige Phishing-Schulungen individuell gestalten können.
OSINT steht für Open Source INTelligence. Bei einem OSINT-Test geht es darum, öffentlich verfügbare Informationen auszuwerten, um zu sehen, wie wertvolle Daten gesammelt und wie diese genutzt werden können. Dabei geht es oft darum, Mitarbeiterlisten von Orten wie LinkedIn und der Unternehmenswebsite zu erstellen. Dies kann es einem Angreifer ermöglichen, hochrangige Persönlichkeiten zu identifizieren, die gute Ziele für einen Spear-Phishing-Angriff sein könnten, also ein Phishing, das speziell auf den einzelnen Empfänger zugeschnitten ist.
Ein Red-Team-Engagement ist in der Regel viel tiefgreifender und kann einige oder alle anderen Komponenten umfassen. Dies kann auch das Testen der physischen Sicherheit und der Einhaltung von Sicherheitsrichtlinien umfassen. Auf der politischen Seite geht es dabei um Social Engineering. Das bedeutet, Sie zu überzeugen, in das Gebäude einzudringen. Dies kann so einfach sein, dass man im Raucherbereich herumhängt und nach einer Rauchpause wieder mit den Rauchern hereinkommt.
Es kann sein, dass Sie sich als Beamter ausgeben oder jemanden bitten, Ihnen eine Tür zu öffnen, während Sie ein Kaffeetassentablett tragen. Auf der Seite der physischen Sicherheit kann es sogar darum gehen, physisch einzubrechen, die Kameraabdeckung zu testen, die Qualität der Schlösser zu testen und dergleichen. An Red-Team-Engagements ist in der Regel ein Team von Personen beteiligt und sie können sich über viel längere Zeiträume erstrecken als normale Pentests.
Eine Red-Team-Übung scheint weniger ethisch zu sein als ein Standard-Pentest. Der Tester macht aktiv Jagd auf ahnungslose Mitarbeiter. Der Schlüssel liegt darin, dass sie die Erlaubnis der Unternehmensleitung haben, typischerweise auf Vorstandsebene. Dies ist der einzige Grund, warum es für einen Red Teamer in Ordnung ist, tatsächlich einen Einbruchversuch zu unternehmen. Es gibt jedoch keine Möglichkeit, gewalttätig vorzugehen. Eine Übung des roten Teams wird niemals versuchen, einen Sicherheitsbeamten zu verletzen oder zu überwältigen, ihn zu umgehen oder auszutricksen.
Um zu verhindern, dass der Red Teamer verhaftet wird, führen sie in der Regel einen unterschriebenen Vertrag mit Unterschriften der genehmigenden Vorstandsmitglieder bei sich. Wenn sie erwischt werden, kann dies als Beweis dafür dienen, dass sie tatsächlich eine Erlaubnis hatten. Natürlich wird dies manchmal als doppelter Bluff genutzt. Der rote Teamer kann zwei Erlaubnisscheine mit sich führen, einen echten und einen gefälschten.
Wenn sie erwischt werden, übergeben sie zunächst den gefälschten Erlaubnisschein, um zu sehen, ob sie die Sicherheitskräfte davon überzeugen können, dass er legitim ist, auch wenn dies nicht der Fall ist. Zu diesem Zweck werden oft die tatsächlichen Namen des Vorstands des Unternehmens verwendet, aber auch eine Bestätigungstelefonnummer, die an einen anderen Red Teamer geht, der mit der Überprüfung der Titelgeschichte beauftragt ist. Wenn der Sicherheitsdienst dies durchschaut, wird natürlich der echte Erlaubnisschein ausgehändigt. Dies kann dann jedoch mit großem Misstrauen behandelt werden.
Abhängig davon, wie der Red Teamer erwischt wurde, kann es möglich sein, den Test fortzusetzen, vorausgesetzt, er hat den einzelnen Sicherheitsbeamten, der ihn erwischt hat, umgangen. Es ist jedoch möglich, dass die Identität des Testers „aufgedeckt“ wird und er im Wesentlichen von weiteren persönlichen Tests ausgeschlossen wird. Zu diesem Zeitpunkt kann ein anderes Teammitglied mit oder ohne Benachrichtigung der Sicherheitskräfte einwechseln.
Ein Pentest ist ein Auftrag, bei dem ein Cyber-Sicherheitsexperte gebeten wird, die Sicherheit eines Computersystems zu testen. Der Test beinhaltet die manuelle Suche und Überprüfung des Vorhandenseins von Schwachstellen. Dabei können automatisierte Tools zum Einsatz kommen. Am Ende des Tests wird ein Bericht mit detaillierten Angaben zu den festgestellten Problemen und Empfehlungen zur Behebung erstellt.
Es ist wichtig, dass es sich bei diesem Bericht nicht nur um die automatisierte Ausgabe eines Tools handelt, sondern dass er vollständig manuell getestet und verifiziert wurde. Jedes Computersystem, jede Hardware, jedes Netzwerk, jede Anwendung oder jedes Gerät kann penetriert werden. Die jeweils erforderlichen Fähigkeiten variieren, ergänzen sich jedoch häufig.
Chrome zeigt Ihnen standardmäßig nicht die vollständige URL an. Dieses Detail interessiert Sie vielleicht nicht so sehr, aber wenn Sie aus irgendeinem Grund die Anzeige der vollständigen URL benötigen, finden Sie hier detaillierte Anweisungen, wie Sie Google Chrome dazu bringen, die vollständige URL in der Adressleiste anzuzeigen.
Reddit hat im Januar 2024 sein Design erneut geändert. Das neue Design ist für Benutzer von Desktop-Browsern sichtbar und schränkt den Haupt-Feed ein, während gleichzeitig Links bereitgestellt werden
Das Eingeben Ihres Lieblingszitats aus Ihrem Buch auf Facebook ist zeitaufwändig und voller Fehler. Erfahren Sie, wie Sie mit Google Lens Text aus Büchern auf Ihre Geräte kopieren.
Wenn Sie mit Chrome arbeiten, können Sie manchmal nicht auf bestimmte Websites zugreifen und erhalten die Fehlermeldung „Server-DNS-Adresse konnte in Chrome nicht gefunden werden“. Hier erfahren Sie, wie Sie das Problem beheben können.
Erinnerungen waren schon immer das größte Highlight von Google Home. Sie machen unser Leben sicherlich einfacher. Lassen Sie uns einen kurzen Überblick darüber geben, wie Sie Erinnerungen auf Google Home erstellen, damit Sie wichtige Besorgungen nie verpassen.
So ändern Sie Ihr Passwort für den Streaming-Videodienst Netflix mit Ihrem bevorzugten Browser oder Ihrer Android-App.
Erhalten Sie die Meldung „Etwas ist schiefgelaufen?“ Beim Zugriff auf Twitter in Google Chrome auf Ihrem Computer tritt die Fehlermeldung „Versuchen Sie es neu zu laden“ auf.
Beim Versuch, sich bei Ihrem Snapchat-Konto anzumelden, werden Sie mit einer Fehlermeldung und einem C14A-Code begrüßt. Möglicherweise sind die Server der Plattform ausgefallen, was überall zu Anmeldeproblemen führen kann.
Die Idee, Videospiele zu entwickeln, gefällt vielen. Der eigentliche Prozess ist jedoch entmutigend, insbesondere wenn man ein Programmieranfänger ist.
Vielleicht möchten Sie Ihre YouTube-Videos auf Instagram teilen, um Ihre Marke auszubauen und Engagement zu generieren. Aber wie teilen Sie YouTube-Videos in Ihrer Instagram-Story? Es gibt keine Möglichkeit, ein YouTube-Video direkt in Ihrer Instagram-Story zu teilen, aber es gibt eine Möglichkeit, dies zu umgehen.
