Im Rahmen der Initiative Cyber Security Academy (CSA) planen wir neben anderen Aktivitäten den Aufbau eines Hacking Labs. Durch diese Maßnahme versprechen wir uns die folgenden Vorteile:
- Implementierung von Proof-of-Concepts (PoC) zu bekannten Sicherheitslücken
- Demonstration von bekannten Angriffsmustern
- Suche nach neuen Angriffsmustern
Aus Sicherheitsgründen erfolgen Aufbau und Betriebs des Hacking Labs getrennt vom restlichen Firmennetz, daher kommt dedizierte Hardware zum Einsatz. Dabei wird das Lab voll skalierbar gestaltet, da es immer neue Techniken geben wird, die es zu testen gilt. Für den initialen Aufbau starten wir mit folgender Grundausstattung.
Der Aufbau des Hacking Labs
Grundlage der Umgebung bilden zwei Notebooks, eines für den simulierten Angreifer und eines für das simulierte Ziel. Abhängig des Angriffszenarios befinden sich beide Notebooks im gleichen Netzwerk, welches von einem handelsüblichen WLAN-Router zur Verfügung gestellt wird. Die Verwendung von Notebooks gegenüber Desktop-PCs bietet den Vorteil einer besseren Portabilität der kompletten Infrastruktur.
Das Angreifer-Notebook
Die Hardware des Angreifers ist zeitgemäß, d.h. das Notebook besitzt eine gute Auflösung, einen SSD-Speicher sowie ausreichend RAM. Zusätzlich haben wir als Kriterium eine Thunderbolt™ 3 Unterstützung festgelegt, da diese Funktionalität für eine zukünftige Nutzung einer externen Graphics Processing Unit (GPU) erforderlich ist. Aufgrund der hohen Rechenleistung kann diese Hashes schneller berechnen als eine CPU und ist somit bei Attacken auf Passwort Hashes unter Verwendung der Exhaustionsmethode (Brute Force) die effizientere Alternative. Als Nebeneffekt haben alle Notebooks mit Thunderbolt™ auch eine gehobene sonstige Ausstattung.
Das Angreifer-Notebook wird mit dem Betriebssystem Kali Linux und einem USB-WLAN-Adapter ausgestattet, welcher in den sogenannten Monitormodus versetzt werden kann. Kali Linux ist eine Distribution auf Basis des Linux-Betriebssystems, welches hauptsächlich Programme für Penetrationstests und digitale Forensik umfasst. Auf einem USB Stick befindet sich zudem ein Kali Live Image, sodass das Betriebssystem bei Bedarf schnell neu installiert werden kann.
Das Ziel-Notebook
Die Anforderungen an das Ziel-Notebook sind geringer: Da dieses im Vergleich zum Angreifer-Notebook keine großen Berechnungen durchzuführen hat, ist lediglich die Ausführung aktueller Betriebssysteme und die Unterstützung allgemeiner aktueller Standards erforderlich. Einzig ungewöhnliche Anforderung ist ein schneller Zugang zum Speicher, da dadurch mehrere kleine SSDs sehr schnell gewechselt werden und somit verschiedene Betriebssysteme und Software als Ziel gestartet werden können. Im Gegensatz zu Multiboot ist bei diesem Ansatz keine gesonderte Berücksichtigung des Bootmanagers erforderlich, wenn ein System neu aufgespielt wird.
Da kleinere SSDs günstig zu erwerben sind, ist theoretisch die Nutzung von separaten SSDs pro Demo bzw. pro Mitarbeiter möglich. Dies verringert den Aufwand vor einer Präsentation und erlaubt die Entwicklung mehrerer unabhängiger Demos.
Erste Demos im Hacking Lab
Für einen ersten Anwendungsfall dient der OWASP Juice Shop. Dieser ist eine frei erhältliche Webanwendung für Sicherheitstrainings und bietet eine gute Basis, um verschiedene Sicherheitslücken zu demonstrieren, die vor allem die Anbieterseite betreffen:
„OWASP Juice Shop is probably the most modern and sophisticated insecure web application! It can be used in security trainings, awareness demos, CTFs and as a guinea pig for security tools! Juice Shop encompasses vulnerabilities from the entire OWASP Top Ten along with many other security flaws found in real-world applications!“
Weitere Demos, die besonders für Endanwender relevant sind, sind derzeit in Planung. Dazu gehört zum Beispiel das Knacken von WEP, WPS, oder das Mitlauschen von unverschlüsseltem Datenverkehr in öffentlichen Netzwerken. Diese Demos werden Awareness Trainings in Form von anschaulichen Beispielen unterstützen.
Im nächsten Teil werden wir das Lab aufsetzen und ausprobieren. Stay tuned…
Der Autor
Unser Kollege Robin Morawetz aus dem Bereich Cyber Risk berichtet über ein aktuelles internes Projekt bei uns. Er ist als Information Security Consultant bei uns tätig und verantwortet ebenfalls die Planung und Umsetzung unserer Cyber Security Academy.
Cyber Security Academy (CSA)
Das Ziel der Cyber Security Academy ist der Erwerb und das Sammeln von Wissen, Know-How und Proof-of-Concepts zu Themen der IT Sicherheit. Ganz im Sinne unseres „A-Prinzips“ und unserer Unternehmenswerte geben wir dieses Wissen im Rahmen von Workshops, Vorträgen und Demos an unsere Kollegen und Kunden weiter.
