Feldstudie.net

Social Engineering für Penetrationstests ungeeignet?

// April 19th, 2008 // IT, Security

Vor kurzem hatte ich die Gelegenheit mit Herrn Bott, Security Consultant bei der Firma SySS, bzgl. dem Einsatz von Social Engineering in Penetrationstests zu sprechen. Die Möglichkeit habe ich nun genutzt, um mich nochmal intensiver mit der Problematik auseinander zu setzen.

kurze Begriffsdefinitionen

Social Engineering bezeichnet die zwischenmenschliche (meist über persönlichen Kontakt, z.B. Telefon) Beeinflussung von Menschen, um unberechtigt an Daten oder Gegenstände zu gelangen. Dabei werden meist falsche Identitäten vorgetäuscht oder eine Autoritätshörigkeit des Opfers ausgenutzt.
Die gesammelten Daten oder Gegenstände werden dann für eine persönliche Bereicherung (z.B. Flugtickets, Notebooks, etc.) oder für eine Weiterverwendung (z.B. Einbrüche in Netzwerke) genutzt.

Bei einem Penetrationstest werden einzelne Rechner oder komplette Netzwerke einem umfassenden Sicherheitstest durch qualifizierte und autorisierte Fachkräfte unterzogen. Dabei sollen Gefährdungen des Netzbetriebs und Sicherheitslücken aufgespürt und dokumentiert werden.

Überlegungen

Penetrationstests werden normalerweise von der Geschäftsführung eines Unternehmens in Auftrag gegeben. Diese Geschäftsführung ist zum Einen an der Sicherheit der EDV-Anlagen interessiert zum Anderen an der Zufriedenheit der Angestellten. Hier muss nun erwogen werden, was sinnvoller ist.

Bei Penetrationstests ohne Social Engineering werden jedoch nur Tests auf Sicherheitslücken in Hardware, Software und Konfigurationen durchgeführt. Der Mensch als größte Schwachstelle wird nicht überprüft.

Der Mensch ist bei jeder Sicherheitsüberlegung bekanntermaßen das schwächste Glied. Mitnick, der einst meist gesuchte amerikanische Computerverbrecher, meinte,

Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlüge rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Und daran hat sich auch bis heute vermutlich nicht viel geändert. Informationen über das Umfeld des Opfers oder direktes Nachfragen fördern oft Daten zu Tage, die in weiteren Angriffen Verwendung finden können. Alleine aus diesem Grund bietet es sich schon an, auch den Menschen in die Sicherheitsüberlegungen und -tests mit einzubeziehen.

Sollte dieses Unternehmen über eine eigene EDV-Abteilung verfügen, kann es verständlicherweise leicht dazu kommen, dass sich die Administratoren angegriffen fühlen. Immerhin kann ein Auftrag für einen Penetrationstest durch die Geschäftsleitung so gewertet werden, dass die Kompetenz der EDV-Abteilung im Bereich der Netzwerksicherheit angezweifelt wird.

Nutzt man nun zusätzlich Social Engineering, so wird der Mensch selbst zum Ziel. Das dies den wenigsten gefällt, ist wohl nicht erstaunlich. Dazu kommt noch das Problem, dass Social Engineering innerhalb von Penetration-Tests nur dann wirklich Sinn macht, wenn die betreffenden Opfer vorher nicht informiert wurden, da sonst schon unweigerlich eine Sensibilisierung eintritt. Dies führt natürlich dazu, dass das Vertrauen zwischen Angestellten und Geschäftsführung bzw. Angestellten und Pen-Testern stark in Mitleidenschaft gezogen wird. Die Zusammenarbeit zwischen Administration des zu testenden Unternehmens und der Security Consultants leidet natürlich ebenso, was zu einem Effektivitätsverlust der Tests führen kann und wahrscheinlich auch führen wird.

Fazit

Jeder Pen-Tester bzw. jedes Pen-Testing-Unternehmen muss selbst überlegen, in wie weit es sinnvoll ist, auch die Mitarbeiter des Auftraggebers zu prüfen. Jedoch sollten die Vor- und Nachteile des Social Engineering bei jedem Auftrag vorher mit dem Auftraggebers besprochen werden, sofern die Prüfung der Mitarbeiter überhaupt gefordert ist.