alphaspirit - Fotolia

Penetration Tester, kein normaler IT-Job

Ein Penetration Tester macht Dinge kaputt, so Adrien de Beaupre. Der Pen-Tester und SANS-Trainer erklärt das Berufsbild, Aufgaben und Tools.

Die Fragen zum Beruf des Penetration Testers, oder kurz Pen-Tester, hat Adrien de Beaupre beantwortet. Er ist SANS-Trainer für den Kurs SEC542 Web App Penetration Testing and Ethical Hacking sowie unabhängiger Berater mit zahlreichen wichtigen Zertifizierungen wie GXPN (GIAC Exploit Researcher and Advanced Penetration Tester), GPEN (GIAC Penetration Tester), GWAPT (GIAC Web Application Penetration Tester), GCIH (GIAC Certified Incident Handler), CISSP, OPST und OPSA.

Was ist und macht eigentlich ein Pen-Tester?

Ein Pen-Tester ist ein Informationssicherheitsexperte, der IT-Systeme knackt, weil Unternehmen ihn damit beauftragt haben. Das ist eine oft gehörte Berufsbeschreibung, die aber ein kleines und inkonsistentes Bild dessen abgibt, was ein Pen-Tester wirklich macht. Ein professioneller Pen-Tester versucht aktiv, die existierenden Sicherheitseinstellungen zu umgehen, um aufzuzeigen, wie verwundbar ein System, eine Webanwendung oder ein Betriebssystem ist. Dabei findet er oft alternative Wege, um Zugang zur Funktionalität eines Systems zu erhalten.

Um es kurz zu fassen: Ein Penetration Tester macht Dinge kaputt. Die meiste Zeit ist nicht zu erkennen, was er eigentlich macht, denn sein Job erfordert eine Menge an Kreativität. Darüber hinaus verwendet er einen Großteil der Zeit darauf, Berichte über die Fortschritte des Pen Testings und über die gefundenen Schwachstellen zu erstellen.

Wie wird man ein Pen-Tester?

Den Beruf eines Penetration Testers zu ergreifen bedeutet eine Menge Arbeit und es gibt nicht nur einen Weg in den Beruf, sondern zahlreiche. Wenn wir einen Blick auf die bekannten Experten werfen, dann unterstreicht das diese These umso mehr. Pen-Tester sind beispielsweise Informationssicherheitsexperten, Entwickler, Datenbankanalysten, Softwarearchitekten, Netzwerk-Administratoren oder andere IT-Spezialisten.

Es handelt sich dabei also nicht um einen Beruf, bei dem man notwendigerweise einen Universitätsabschluss oder aber eine Ausbildung in der Informationssicherheit haben muss, stattdessen ist es ein Berufsstand für intelligente Leute generell. Ein Weg in den Beruf ist der Besuch von Kursen wie die, die das SANS Institut anbietet. Die Organisation veranstaltet spezielle Trainingsveranstaltungen wie Pen Test Berlin Ende Juni 2016 seit inzwischen vier Jahren. 

Bei diesen Events gibt es verschiedene Kurse auf unterschiedlichen Stufen und zu unterschiedlichen Themen wie Web Application oder Programmiersprachen wie Python. In diesen Kursen wie dem Web-Application-Kurs lernen die Teilnehmer nicht nur theoretisch, sondern erhalten auch aktiv Angriffs-Tools, verwundbare Webanwendungen als Testumgebungen und eine eigene virtuelle Maschine, die speziell für Web Application Pen Testing ausgelegt ist. Die einzige Anforderung, um die Kurse besuchen zu dürfen, sind grundlegende Kenntnisse der Linux-Kommandozeile, dementsprechend stehen die Kurse jedem offen, je nach seinen Vorkenntnissen und persönlichen Interessen.

„Ein Penetration Tester macht Dinge kaputt. Die meiste Zeit ist nicht zu erkennen, was er eigentlich macht, denn sein Job erfordert eine Menge an Kreativität.“

Adrien de Beaupre, SANS-Trainer

Bestenfalls sollte man sich für Informationssicherheit interessieren und sich für IT-Systeme, Anwendungen und Software generell begeistern können. Darüber hinaus sollte man sich bewusstmachen, dass der Beruf eines Pen-Testers bedeutet, dass man das gesamte Leben weiter lernt und sich auch selbst immer wieder neue Dinge beibringt.

Was sind die Anforderungen an einen Pen-Tester?

Teamwork. Eine der am meisten unterschätzten Fähigkeiten ist im Team zu arbeiten. Bei der Arbeit in Teams braucht es Fähigkeiten im Projekt-Management, Kreativität und eine methodische Vorgehensweise. Außerdem ist das Schreiben von Berichten sehr wichtig, diese müssen verständlich und genau sein, um die Arbeit des Pen-Testers nachvollziehen und bewerten zu können. Darüber hinaus sind breite Kenntnisse in der Informationssicherheit wichtig. Ein guter Security-Analyst und Projekt-Manager ist in einem Projekt mehr wert als 100 Pen-Tester.

Ein guter Pen-Tester verfügt zusätzlich über Wissen aus diesen Bereichen:

  • IT-System-Administration;
  • Entwicklung von Anwendungen in den Programmiersprachen C, Java, PHP, Python;
  • Angriffstechniken wie Buffer Overflow, Code Execution oder Code Injections;
  • Tools wie Nessus, Nikto, nmap und andere sollten bekannt und der Umgang mit ihnen geübt sein;
  • Strukturierte Arbeitsweise;
  • Berichtswesen.

Was macht ein Pen-Tester eigentlich genau?

Der einfachste Weg, den Beruf zu beschreiben, ist mit einem Beispiel. In einer perfekten Welt engagiert ein Unternehmen einen Pen-Tester, um die letzte Webanwendung oder Software manuell auf Schwachstellen zu testen, bevor diese in den Livebetrieb geht. Dieser folgt dann definierten Schritten während des Penetration Tests und schreibt einen detaillierten Bericht über jeden Schritt. Pen-Tester folgen in der Regel den gleichen hohen Methodenstandards, die allerdings auf das beauftragende Unternehmen oder aber das Projekt angepasst werden. Viele dieser Methoden sind frei zugänglich und stehen zum Download bereit. Beispiele sind die SANS-Pen-Test-Methodologie, ein Open Source Security Testing Methodology Manual (OSSTMM), der Open Web Application Security Project (OWASP) Testing Guide und der NIST Technical Guide für Information Security Testing und Assessment SP 800-115.

Die Schritte sind wie folgt:

  • Planung und Logistik;
  • Erkundung und Informationssammlung;
  • Identifikation und Aufzählung der Ziele;
  • Schwachstellenprüfung und -bewertung;
  • Exploitation;
  • Post Exploitation – Pillaging und Pivoting;
  • Analyse und Berichterstellung.

Was sind die am meisten genutzten Tools?

Die Tools unterscheiden sich naturgemäß je nach Projekt und nach dem Ziel des Projekts. Das wichtigste Tool ist letztlich das, was die Menschen zwischen ihren Ohren mit sich herumtragen. Wie mein Freund James Jardine zu sagen pflegt, „I thought it was just a mindset? The rest is just pretty accessories“. Die aufrichtige Antwort ist ein Webbrowser, der die Suche nach Schwachstellen und die Informationssammlung übernimmt, ein Projekt-Management-Tool für die Planung und eine Datenbank, mit der die Daten erfasst werden. Wahrscheinlich ist das nicht die Antwort, die man jetzt erwartet hätte. Für internetbasierte Tests ist ein Port Scanner wie massscan, nmap oder unicornscan, ein Schwachstellenscanner wie OpenVas oder Nessus und ein Exploit Kit wie Core Impact Pro oder Metasploit interessant. Für Webanwendungen, Wireless oder andere Testformen sind die Tools sehr unterschiedlich. Aus diesem Grund ist die wichtigste Zutat für einen erfolgreichen Penetrationstest auch ein erfolgreiches Team bestehend aus guten Spezialisten, Prozessen und Technologien:

  • Spezialisten mit dem erforderlichen Training, dem sorgfältigen Blick für das Detail, der Erfahrung, den Analysefähigkeiten und der Kreativität, Angreifer auf eine kontrollierte und professionelle Art und Weise zu imitieren.
  • Prozesse: Klare Einsatzregeln, Projekt-Management, Logistik, Zieldefinition, Richtlinien und Methodologie des Penetrationstests.
  • Technologie: Tools zu finden ist nicht so schwierig, oft sind sie kostenlos und als Open-Source-Tools auch einfach herunterzuladen. In den Händen eines guten Pen-Testers sind sie allerdings ungleich wertvoller. Wenn dagegen ein Möchtegern-Pen-Tester die gleichen Tools einsetzt, kann das in einem Desaster enden.

Warum macht es Sinn weiterhin manuell nach Schwachstellen zu suchen, anstatt nur auf automatisierte Tools zu setzen?

Automatisierte Prozesse können nur Schwachstellen aufdecken, für deren Identifikation diese Programme ausgelegt wurden. Sie sind nicht in der Lage dazu, etwas zu finden, wofür keine Signatur entwickelt wurde. Darüber hinaus können sie keine logischen oder Programmierfehler finden und können auch keine menschlichen Fehler aufzeigen, die zu Schwachstellen geführt haben, die sich ausnutzen lassen. Webanwendungen können nur dann ordentlich getestet werden, wenn eine Methodik vorliegt, die beide, automatisierte und manuelle Prozesse gleichermaßen einsetzt.

Was sind die kommenden Trends des Berufsstandes?

Automatisierte Tools für Penetrationstests sind ein gewisser Trend, der sich ja auch in anderen Sparten der Informationssicherheit abzeichnet. Viele Unternehmen und Organisationen auf der Welt beginnen langsam damit, ihre IT-Sicherheitssysteme zu verbessern. Als ethische Hacker und Pen-Tester müssen wir unsere Techniken und Tools genauso laufend verbessern. Automatisierte Tools finden die gängigen Vorgehensweisen Früchte, die von Angreifern traditionell eingesetzt wurden und gegen die viele Unternehmen bereits Sicherheitsmaßnahmen ergriffen haben. Daher ist es als ethische Hacker und Pen-Tester unsere Aufgabe, neue Wege zu finden, wie die Handlungen von Angreifern simuliert werden können. Wir müssen darüber hinaus auch weiterhin neue Technologien und Tools erlernen. Cyberkriminelle entwickeln sich weiter und wenn sie das tun, müssen wir das auch.

Wie fange ich an, wie werde ich ein Pen-Tester?

Es kommt wirklich darauf an, was man will. Werfen wir einen Blick auf meinen Weg in den Beruf. Mein Interesse für Informationssicherheit kam 1989, als ich das Buch „The Cuckoo’s Egg“ von Cliff Stoll gelesen habe. Ich habe mit Technologie seit Anfang der 1980er Jahre zu tun und wurde zum Berater in den frühen 1990er Jahren. Als ich für einen Internet Service Provider gearbeitet habe, wurden wir angegriffen und das hat mich regelrecht verzaubert. Danach habe ich mich in Richtung ethisches Hacken und Penetration Testing entwickelt, es fasziniert mich, wie man Aktionen von Angreifern simulieren kann. Ich denke, dass es eine natürliche Erweiterung für meine Liebe zur Technologie ist, mein Interesse an Informationssicherheit und meine Hobbies in Martial Arts. Einfach gesagt, passt es zu meiner Persönlichkeit und meiner Neugier.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Bedrohungen