:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kali Linux Workshop, Teil 2 Informationen sammeln mit Kali Linux
Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil dreht sich alles um das Thema Informationen übers Netzwerk sammeln.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Kali Linux ist installiert und der Rechner ist gebootet. Der erste Schritt ist jetzt, sich im Netzwerk umzusehen - die Informationsbeschaffung. Kali bringt eine ganze Reihe an Anwendungen mit, die zeigen, welche Geräte im LAN aktiv sind. Ein wichtiger Hinweis vorab: Diese Tools fallen größtenteils als Dual-Use unter den Hackerparagrafen 202c StGB. Das bedeutet, dass sie nur in Netzwerken genutzt werden sollten, die man entweder komplett kontrolliert (etwa das eigene Netzwerk zuhause) oder für die man die Erlaubnis hat, sie abzuklopfen. Ein aggressiver Scan kann Warnsysteme auslösen und einzelne Systeme komplett zum Absturz bringen. Wer so etwas unerlaubt durchführt, macht sich unter Umständen strafbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1341800/1341815/original.jpg "Kali Linux: Die Distribution ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. (Offensive Security)")
Kali Linux Workshop, Teil 1
Kali Linux installieren und Hacking-Lab aufsetzen
Nmap - der vielseitige Klassiker
Über Nmap könnte man ganze Bücher schreiben (was tatsächlich auch geschehen ist), das Tool ist so umfangreich wie mächtig. Der Scanner zeigt so ziemlich jedes Gerät an, das im LAN erreichbar ist. Es gibt zahlreiche Optionen, mit denen man die Scans eingrenzen kann, aber für einen ersten Test reicht der Befehl: nmap IP-Range.
Das Tool kann aber noch mehr als nur einzelne Hosts finden. Nmap kann die jeweiligen Zielsysteme auf Ports abklopfen und die Offenen dokumentieren. Auch wenn das auf den ersten Blick nach wenig aussieht, so können offene Ports bereits einige Hinweise geben. Ein offener Port 80 oder 8080 etwa weißt auf einen aktiven Web-Dienst hin. Bei einem klassischen Webserver ist das vielleicht kein Problem, bei einer IoT-Glühbirne oder einem normalen Rechner kann es aber ein Hinweis auf eine Hintertür sein. Nmap versucht auch, die jeweiligen Dienste zu erkennen, die hinter einem Port stecken. Besonders übersichtlich ist das in Zenmap aufbereitet, gerade Nicht-Kommandozeilen-Profis haben es damit etwas einfacher.
Weitere Details zu Nmap und der grafischen Oberfläche Zenmap stellen wir in diesem Beitrag genauer vor.
Netdiscover - ARP ausspionieren
ARP ist ein interessantes Protokoll. Das Adress Resolution Protocol sitzt zwischen der MAC-Adresse der Netzwerkkarte und der eigentlichen IPv4-Adresse. Netzwerke nutzen es, um die Hardware mit der digitalen Adresse zu koppeln. In ARP-Tabellen werden diese Zuordnungen gespeichert, in den Händen eines Angreifers lässt sich so das Netzwerk recht umfangreich auflisten.
Netdiscover zielt genau auf diese Daten. Das Tool für WLAN-Netzwerke entwickelt, in denen kein DHCP-Server aktiv ist. Es hat sich darauf spezialisiert, ARP-Kommunikation aufzuspüren und die Daten sauber aufzulisten. In unserem Testnetzwerk hat Netdiscover schnell alle Endpunkte aufgespürt - fast schon unheimlich schnell.
p0f - passiv im Netzwerk schnüffeln
Um eine Entdeckung zu verhindern, sollte man sich zu Beginn passiv verhalten – also nur lauschen statt aktiv herumstochern. Denn sobald man aktiv im (W)LAN nach Endpunkten sucht, schlagen normalerweise sämtliche Warnsysteme an. p0f geht genau dieses Problem an: das Tools hört passiv mit und wird selbst nicht aktiv. Der Nachteil dabei ist, dass nicht jedes System erwischt wird - es muss ein aktiver Datenfluss stattfinden. Dann kann p0f aber einige Daten über das Zielsystem liefern, beispielsweise das Betriebssystem. Ein Trick ist, jede der per Netdiscover entdeckten IPs mit einem Browser von Kali aus anzusurfen - p0f erkennt die Kommunikation und liefert anschließend die Informationen.
Kismet - Zeigt Funkverbindungen
Kismet ist bekannt wie Nmap. Wenn es darum geht, Funkwellen und -Sender aufzuspüren, gibt es kaum ein Tool, das vielseitiger ist. Kismet besteht eigentlich aus drei Produkten: Dem Server, dem Client und der Drohne. Die Drohne sammelt die Daten, eine oder mehrere Drohnen können sie an den zentralen Server liefern. Dieser wiederum kommuniziert mit dem Client, um die Informationen darzustellen. Dadurch wird Kismet unglaublich flexibel: Das Tool lässt sich nicht nur auf einem System betreiben, sondern kann auf mehrere Komponenten verteilt werden.
Als Drohnen können etwa günstige OpenWRT-Router oder Raspberry Pi eingesetzt werden. Der Server kann lokal oder in der Cloud betrieben werden - und Clients können sich von überall auf die Daten des Servers aufschalten und die Informationen auswerten. Das klappt sowohl mit dem Kismet-eigenen Interface oder mittels Kismon, eines ziemlich hübschen grafischen Clients.
Kismet benötigt etwas Zeit bei der Einarbeitung, dafür erhält man aber ein unglaublich umfangreiches Tool. Denn der Scanner kann nicht nur WLAN-Netzwerke aufspüren, sondern lässt sich mit über Plugins erweitern. Damit kann man beispielsweise DECT, Bluetooth oder Zigbee aufspüren und mappen. Parallel kann Kismet GPS-Daten mit gefundenen Access Points kombinieren und sie auf Karten anzeigen. Kismet arbeitet dabei komplett passiv, lauscht also nur und sendet selbst keine Pakete aus. Der Einfachheit halber kann Kismet den kompletten Datenverkehr aufzeichnen und als PCAP bereitstellen. So kann man beispielsweise die Informationen in WireShark oder TCPDump analysieren.
Nikto: Schnüffler für Webdienste
Nikto kennt nur ein Ziel: Die Verwundbarkeiten von Webservern suchen und darstellen. Das Tool sucht nach veralteter Server-Software, potentielle gefährlichen Daten und weiteren Problemen. Mit dem Tool lassen sich Webserver schnell auf Schwachstellen abklopfen und Probleme aufspüren. Neben der Kommandozeilen-Version gibt es mehrere grafische Oberflächen, für Linux, Mac und Windows.
Sparta - Rundumscanner mit grafischer Oberfläche
Sparta ist ein Python-basiertes Framework für Netzwerk-Pentesting. Gegenüber den anderen Tools folgt es einem komplett anderen Ansatz: Wo Kismet und Co vorsichtig lauschen um nicht aufzufallen, tritt Sparta die Tür zum Netzwerk ein und brüllt solange herum, bis es Antworten bekommt. Anders gesagt: Es ist auf aktive Informationssuche spezialisiert.
Das Framework kombiniert mehrere Scanner, darunter Nmap und Nikto um eine möglichst umfassende Übersicht zu allen gefundenen Hosts zu liefern. Dabei arbeitet das Tool in Stufen: Zunächst wird ein Nmap-Scan ausgelöst, der alle gefundenen Hosts auf offen Ports und Dienste abklopft. Sobald interessante Zugangspunkte gefunden werden, startet Sparta Passwort-Cracking-Tools. Diese klopfen FTP- oder MySQL-Dienste automatisch ab. Findet das Tool einen Webserver, erstellt es automatisch Screenshots. So kann man direkt sehen, welche Informationen auf dem Server liegen.
Wichtig zu wissen: Nmap läuft in mehreren Stufen ab. Zunächst werden die normalen und bekannten Ports abgeklopft, mit jeder Stufe kommen immer mehr dazu. Im Test haben wir eine Synology-NAS überprüft, deren Admin-Login liegt auf Port 5000. Es dauerte ziemlich lange, bis Sparta diesen Port aufgelistet hat - entsprechend sollte man Zeit mitbringen.
Weil das Produkt sofort checkt ob sich vielleicht eine Shell auf dem Zielsystem aufrufen lässt, hat es durchaus Ähnlichkeiten mit Malware wie Mirai. Daher ist es so wichtig, das Tool nicht außerhalb des eigenen Labors bzw. des eigenen Netzwerks zu nutzen. Im Test etwa schoss der Scan mit Sparta das im Netzwerk verfügbare VoIP-Telefon mehrfach ab - weder Zugriff auf den integrierten Webserver noch die IP-Telefonie selbst funktionierte.
Weitere Tools
Neben den größeren Tools bringt Kali eine ganze Reihe an kleineren und spezialisierten Tools mit. Dazu gehören:
- IKE Scan: Dieses Werkzeug ist speziell zum Abklopfen von IPSec-VPN-Systemen gedacht. Es schickt IKE-Pakete an den jeweiligen Host und analysiert alle zurückkehrenden Pakete.
- dnmap: Das Tool kann Nmap-Scans über mehrere Clients verteilen. Es besteht aus einem Server und den entsprechenden Clients. Das ist beispielsweise dann sinnvoll, wenn eine große Anzahl von Hosts überprüft werden sollen.
- DMitry: Der Scanner ist darauf spezialisiert, möglichst viele Informationen über einen Host zu finden. Dazu gehören etwa mögliche Subdomains, E-Mail-Adressen oder Whois-Lookups.
Was mache ich mit den Informationen?
Die Scanner geben einen ersten Einblick, was im Netzwerk los ist. Dabei eignen sie sich nicht nur für Angreifer, sondern auch für Admins. Etwa um zu überprüfen, ob neue Endpunkte auftauchen, die eigentlich nicht da sein sollten – immer ein klares Warnsignal. Insofern lohnt es sich für jeden IT-Profi, sich mit Tools wie Nmap auseinanderzusetzen. Dazu muss man keine Hacker-Karriere anstreben auch braucht es keine teuren Zertifikate ablegen. Es reicht, sich mit den Befehlen und den Tools etwas vertraut zu machen, dazu reichen ein paar Nachmittage.
Es kann dabei auch durchaus positiv sein, wenn Sicherheitstools anschlagen. Nicht nur kann man dann deren Meldung in einem kontrollierten Test überprüfen, auch weiß man für den Ernstfall, wie ein Scan des Netzwerks in den Log-Files aussieht.
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374959/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren. (Offensive Security)")
Kali Linux Workshop, Teil 3
Schwachstellenanalyse mit Kali Linux
(ID:45161310)
:quality(80)/p7i.vogel.de/wcms/dd/05/dd05ac1bc6485caf3d9cbb41c40177a3/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/a7/eaa799f1eb04f4441c1ff3bf1ad4e264/0105917864.jpeg "Kali-Linux zählt aufgrund seiner forensischen Ausrichtung zu den für Administratoren unumgänglichen Linux-Distributionen. (Bild: Offensive Security)")