Ethical Hackern

Whiteshield – eine Firma welche sich spezialisiert hat auf den Bereich IT-Sicherheit – wurde von einer Gruppe von ‚Ethical Hackern’ gegründet. Mit dem gemeinsamen Ziel: Enthüllung der wahren Natur der Kunden-Infrastruktur aus Sicht der Sicherheit. Was wir erreichen wollen ist nicht weniger als eine umfassende Schwachstellenanalyse durch eine Reihe von methodischen Tests, Security Assessments, Penetrationstests sowie Social Engineering.

Unser Know-how liegt in der professionellen technischen Beratung für unsere Kunden so, dass Sie effektiv ihre Systeme stärken und damit gewährleisten, dass vertrauliche Informationen durch mögliche Angriffe geschützt sind.

Was ist Ethical Hacking?

Es ist eine wohlbekannte Tatsache, dass alle IT-Systeme durch Sicherheitslücken bedroht sind – wie sie täglich entdeckt werden. Planung für und Umgang mit diesen Risiken ist für Entscheidungsträger wichtiger als je zuvor.

Berücksichtigen Sie eine oder mehrere der nachfolgenden Möglichkeiten:

  • ein Mitbewerber verschafft sich Zugang zur Unternehmens-Datenbank und die Möglichkeit, Änderungen an sensiblen Daten vorzunehmen
  • geschützte, vertrauliche Informationen werden öffentlich zugänglich für Phishing Roboter welche im Internet lauern
  • eine Drittperson – abgesehen vom Absender oder Empfänger – erhalten Zugriff auf eMail-Informationen
  • eine nicht berechtigte Person verschafft sich Zugriff auf das Firmennetzwerk via WiFi
  • die Website Ihres Unternehmens wird neu strukturiert oder Informationen verfälscht um Sie als Unternehmen zu diskreditieren oder eine Irreführung der Besucher zu erzeugen

Ist Ihnen der eine oder andere Vorfall – der oben genannten Möglichkeiten – schon passiert ? Was wenn solche Vorfälle kontinuierlich auftreten oder sich einfach niemand dessen bewusst ist ? Solche Vorfälle geschehen öfters als man annehmen würde. Leider wissen die meisten Opfer nicht einmal, dass ein Eindringen oder ein dauerhafter Aufenthalt eines Fremden in Ihr System stattgefunden hat bis zum Zeitpunkt zu welchem sensible Daten bereits Drittpersonen zur Verfügung stehen und somit ein erheblicher Schaden am Unternehmenswert entstanden ist.

Kurz gesagt ist Ethical Hacking nicht mehr als eine Simulation eines echten Hacker-Angriffs. Unsere Experten verfügen über dieselben Fähigkeiten und Werkzeuge wie Hacker über welche man in den täglichen Nachrichten lesen kann und welche der Cyber-Kriminalität beschuldigt werden.

Unser Team besteht aus „Ethical Hackers“ mit Know-how im Bereich der Informationssicherheit. Nach sorgfältiger Planung und Verhandlungen mit dem Kunden, greifen wir ein gemeinsam definierten Umfang der Infrastruktur oder Anwendungen an, um mögliche Schwächen und Schwachstellen, die ein leichtes Ziel für tatsächliche unerwünschte Angriffe sind, zu lokalisieren und zu offenbaren.

Unsere Projekte fördern oft ein schockierenden Ergebnis zu Tage. Unser Service besteht nicht nur aus Penetrationstests. Vielmehr geht es darum ein Konzept zu erarbeiten welches Ihnen aufzeigt wie Sicherheitslücken behoben werden können. Falls gewünscht bieten wir Ihnen Beratung und Unterstützung bei der Umgestaltung bestimmter Infrastrukturen oder Software-Komponenten.

Ethical Hacking – Was machen wir

Im Zuge unserer Überprüfung simulieren wir einen echten Hacker-Angriff. Wir handeln und denken wie ein böswilliger Angreifer mit ähnlichen Tools. Das Ziel ist, festzustellen und zu beurteilen wie sicher Ihre IT-Infrastruktur ist sowie zu welchen Daten und Informationen eine Drittperson Zugriff haben könnten.

Unsere Spezialisten suchen gezielt alle verfügbaren Informationen im Internet um sich ein Bild über Ihre Firma zu machen.Durch die Augen eines Hackers wird eine detaillierte Struktur aufgebaut um mit entsprechenden Technologien und Tools, Sicherheitsrisiken sowie mögliche Bedrohungen der Kunden erforscht und aufgedeckt werden.

Nicht nur prüfen wir bekannte Schwachstellen welche im Internet veröffentlicht werden, sonder erkunden ebenso das Update- und sicherheitspolitische Verhalten und das Fehlen derselben um unbeabsichtigte Lücken und Ergebnisse menschlicher Fahrlässigkeit aufzuzeigen. Individuell entwickelte Dienstleistungen und Lösungen werden mit besonderer Sorgfalt auf typische Designfehler überprüft.

Unten aufgeführt ist eine Liste mit der von uns erbrachten Leistungen am Ende eines Projektes:

  • Priorisierte Empfehlungsliste mit den notwendigen Schritten welche ergriffen werden müssen um alle Risiken zu eliminieren sowie um Ihr System zu stärken
  • Zusammenfassung um den aktuellen Zustand sowie Risiken – Ihrer IT- Infrastruktur – in einer nicht technischen Sprache zu beschreiben
  • Technische Zusammenfassung der Sicherheitslücken für Entwickler sowie Systemadministratoren
  • Ausführlicher und detaillierter Bericht der Überprüfung

Unser Hauptziel besteht nicht in der Suche nach einem sogenannten „soft spot“ oder darin unsere Kunden zu kompromittieren sondern vielmehr darin, Schwachstellen in Ihrem System zu finden, die Ergebnisse zu dokumentieren und Ihnen Empfehlungen abzugeben wie diese Schwachstellen effektiv behoben werden können.

Externe Schwachstellenanalyse

Die erste Phase jedes Ethical Hacking-Projektes besteht darin, dass wir Ihrem Unternehmen aufzeigen wie der Firmenauftritt gegen aussen erscheint. Dies unabhängig davon ob Ihr Unternehmen einen oder mehrere physische Standorte betreibt.

Die externe Schwachstellenanalyse konzentriert sich hauptsächlich darauf zu beschreiben wie ein Angriff von aussen nach innen aussehen und durchgeführt werden könnte. Sehr häufig geschieht ein solcher Angriff über eine Firmen-Website des Unternehmens bis hin zu einem Datenbankserver. Es gibt auch andere Arten externer Verbindungen welche in den Rahmen einer externen Bewertung fallen wie z.B. Standleitungen oder andere private Lösungen.

Der Prozess umfasst mehrere Phasen welche in der Regel fest miteinander verbunden sind. Das Zusammentragen von allgemein zugänglichen Informationen über Ihre Firma resp. technische Informationen über die Netzwerkinfrastruktur, installierte Hard- sowie Softwarekomponenten, System Services, Analyse des Netzwerkverkehrs gefolgt von einer automatisierten Schwachstellenanalyse welche durch spezialisierte Software durchgeführt und auch von Hackern eingesetzt wird.

Aufgrund ihrer Beschaffenheit gibt es immer Komponenten welche nicht Gegenstand der automatisierten Schwachstellenanalyse sind. Hier ist eine manuelle Einschätzung sowie Versuche nötig um das Eindringen in Ihre Systeme zu simulieren.

Interne Schwachstellenanalyse

Statistiken zeigen, dass die verheerendsten Angriffe teilweise oder vollständig durch eigene unzufriedene Mitarbeitern durchgeführt werden welche für sich einen Vorteil erhoffen. Die Absicht solcher Angriffe ist dabei nicht unbedingt dem Unternehmen einen Schaden zuzufügen.

Neugierde dient dabei oft als eine große Motivation. Der Zugriff auf vertrauliche Daten – welche im Normalfall vertraulich bleiben sollen – vermittelt dabei ein Gefühl von Wissen und Macht.

AWir empfehlen eine interne Schwachstellenanalyse für alle unsere Kunden die sensible Daten auf ihrem Intranet oder dem internen Netzwerk gespeichert haben und es vorziehen diese Daten, Mitarbeitern ohne entsprechende Genehmigung oder Rolle nicht zur Verfügung zu stellen.

Die Bewertung von WiFi-Netzwerken ist eng mit der internen Schwachstellenanalyse verbunden, da WiFi-Netzwerke direkt mit dem lokalen Netzwerk (LAN) verbunden sind. Allerdings haben sie eine viel größere Netzabdeckung als der physische Bereich im Büro selber. Wenn ein Hacker jemals erfolgreich Zugang zum WiFi-Netzwerk gewonnen hat, hätte er dieselben Berechtigungen wie dies ein registrierter Benutzer unternehmensinternen hat. Ein solcher Hacker hätte dann die Möglichkeit „transparent Data Mining“ zu implementieren, seine Berechtigungsstufe zu erhöhen oder weitere Geräte im Unternehmensnetzwerk zu übernehmen, ohne dass jemand jemals etwas bemerken würde.

Eine interne Schwachstellenanalyse erfolgt beim Kunden vor Ort im Büro mit einer direkten physischen Verbindung zum LAN. Software-Funktionen und Dienste werden dann untersucht um zu sehen ob sie möglichen Angriffen ausgesetzt sind und falls ja, welche Rollen betroffen sind (zB ein Gast-Konto oder die eines durchschnittlichen Mitarbeiter).

Schwachstellenanalyse von komplexen Web-Anwendungen

Die Zielsetzung dieser Überprüfung ist es, die Bedürfnisse von Unternehmen welche eine eigene Web-Anwendungen entwickelt haben um ihre Geschäftsprozesse zu unterstützen, abzudecken. Dabei kann es sich um allgemein verbreitete Web- Anwendungen handeln wie z.B. Portal, Webshop, Registrierung von Verbrauchszähler etc. welche unter Umständen hochsensible Daten beinhalten.

Diese Anwendungen werden mit besonderer Sorgfalt behandelt, da sie buchstäblich die Bausteine des Unternehmens bilden und die Verbindungen zwischen der Außenwelt und dem vertraulichen Unternehmens-Umfeld darstellen.

Laut einer Marktforschung von Gartner, zielen etwa 75% aller bösartigen Hacker- Angriffe auf komplexe Web-Anwendungen ab. Dies ist kaum verwunderlich, betrachten wir einige grundlegende Fakten mit gesunden Menschenverstand.

Die meisten Unternehmen stellen eine beträchtliche Menge an halb-öffentlichen Informationen allgemeiner und technischer Art zur Verfügung welche auch Teile ihrer Infrastruktur sowie Software-Lösungen enthüllen. Dies allein würde noch keine grosse Gefahr bedeuten sofern Sicherheits-Patches von Software-Anbietern fristgerecht installiert würden. Darüber hinaus sind die meisten Sicherheitslücken veröffentlicht so, dass sich IT-Service-Betreiber sowie technische Analysten der Risiken, welche ihre IT-Systeme beeinträchtigen können, bewusst sein müssten. Leider sind diese Personen eben nicht die einzigen mit diesen Kenntnissen.

Aus der Sicht eines potentiellen, böswilligen Angreifers sind Systeme welche lange Zeit nicht aktualisiert wurden ein leichtes Ziel wenn die einzelnen System-Teile der offengelegten Informationen wie ein Puzzle zusammengefügt werden.

Unsere Experten werden – mittels automatisierter Werkzeuge sowie manueller Eingriffe – die Sicherheitsstufe Ihrer aktuellen Anwendungen bestimmen so, dass Sie sicher sein können, dass alle Lücken für riskante Eingriffe aufgedeckt und klassifiziert werden.

Soziales Engineering

Der Faktor Mensch bildet das grösste Risiko bezüglich Offenlegung von Informationen. Das Soziale Engineering konzentriert sich nicht primär auf Schwachstellen der IT-Infrastruktur, Hardware, Software oder Netzwerk-Geräte sondern vielmehr auf Schwächen der menschlichen Natur um sensible Informationen zu beschaffen. Mit Hilfe von speziell vorbereiteten, personalisierten und strukturierten Techniken kann jeder in Systeme eindringen, Daten modifizieren oder sogar löschen.

Soziales Engineering erlaubt es dem Angreifer oft vorhandene Sicherheitstools wie z.B. Firewalls resp. Software welche, ein Eindringen von extern meldet, zu umgehen. Die Naivität der Benutzer ermöglicht einen einfachen Penetrationspunkt. Diese Angriffe zielen darauf ab, dass die Zielpersonen Anmeldeinformationen von sich aus freigeben um es einem Angreifer so zu ermöglichen in das Firmennetzwerk einzudringen.

Unsere Methodik für Soziales Engineering umfasst einige einfache Überprüfungen, wie z.B. die Erfüllung der Clear Desk Policy (z.B. kann ein Besucher auf vertrauliche Daten, Passwörter oder dergleichen zugreifen) sowie Tests wie Benutzer auf eine weit verbreitete Angriffsmethode wie z.B. betrügerische eMail, Chats oder Angriff via Telefon reagieren.

We are using tracking codes

Please confirm, if you accept our tracking cookies. You can also decline the tracking, so you can continue to visit our website without any data sent to third party services. Please read our Privacy Statements.