Penetrationstest für einen Mobilfunkbetreiber
Kunde
Der Kunde ist ein Mobilfunkbetreiber mit mehr als 5 Mio Abonnenten.
Aufgabe
Als ein Unternehmen mit 5 Mio Abonnenten und beinahe 2,000 Mitarbeitern verfügt der Kunde über eine große Datenbank der persönlichen Daten (einschließlich Finanzinformationen), welche ein attraktives Ziel für die Intruders ist. Darüber hinaus, als ein Mobilfunkprovider, soll der Kunde viel Aufmerksamkeit der Stabilität seiner Leistungen schenken.
Um zu garantieren, dass die bestehenden Sicherheitsmaßnahmen effektiv genug sind, um alle Vermögenswerte vor unbefugtem Zugriff zu schützen, entschied der Kunde, die Sicherheitsebene des Informationssystems und der öffentlichen Web-Anwendungen zu bewerten; mögliche Schwachstellen zu erkennen und alle aufgedeckten Sicherheitsprobleme zu beseitigen. Daher war der Kunde in der Suche nach einem zuverlässigen Partner für die Bereitstellung von Leistungen im Pentesting.
Lösung
2 Penetrationstester von ScienceSoft wurden diesem Projekt zugewiesen. Der Penetrationstest wurde in 2 Phasen ausgeführt: Test vom Netzwerk-Perimeters und Test von öffentlichen Web-Applikationen.
Um den Sicherheitszustand des ganzen Perimeters zu prüfen, wobei man innerhalb Zeit- und Budgetrahmen bleibt, wurde ein kombinierter Zugang zum Test gewählt: Feldarbeit für die ersten 2-3 Wochen, die Sammlung der Informationen über das Perimeter, öffentliche Dienste, Software-Versionen, potentielle Schwachstellen; kooperative Diskussion und Auswahl von N-Vektoren (z.B. IP-Adressen) für Test. Auf dieser Phase wurden alle gewählten Elemente des Kundennetzwerkes (die den Angriff-Modellen gemäß erreicht werden können) in den Umfang einbezogen.
Der Test wurde mittels „Black Box-Methode durchgeführt – nur der Unternehmensname und die URLs der Web-Applikationen waren bekannt.
- Test der öffentlichen Web-Applikationen
5 öffentliche Web-Applikationen wurden für Test ausgewählt, einschließlich der korporativen Webseite, des Online-Shops und des Web-Portals für Klienten. Es wurde während des Penetrationstests der Webseite vorausgesetzt, dass ausschließlich der Intruder den Internet-Zugang hatte.
- Test des Netzwerk-Perimeters
5 Ziele wurden für diese Phase gewählt, einschließlich der Domainnameservers (DNS) and Mail-Servers. Unter den gewählten Angriffmodellen wurden die folgenden benutzt: Intruder hat den Zugang zum Internet, zu GPRS/3G Datenleistungen und anderen.
Wir wollten zumindest die folgenden Schwachstellen erkennen:
- Die Möglichkeit, die Kontrolle über mehrere Netzwerkgeräte mittels eines speziellen Steuerprotokolls zu erhalten
- Zugang zu den Systemen mittels eines Standard-Admin-Kontos
- SQL-Injektion-Anfälligkeit
- Die Möglichkeit, die Administratorrechte zu erhalten und die Datenbank mit sensiblen Daten zu lesen
- Systeme, die für Brute-Force anfällig sind
- Systeme, die für Denial-of-Service-Angriffe anfällig sind
- Andere weniger riskante Themen bezüglich Social Engineering Angriffe, Spoofing, Cross-Site Scripting usw.
Der Penetrationstest offenbarte eine Reihe der Schwachstellen mit unterschiedlichen Ebenen von Risiko für Unternehmensvermögen.
Neben den offenbarten technischen Fragen half der Penetrationstest, die Bereitschaft des Unternehmens zu bewerten, einen Angriff zu erkennen und die schnellen Sicherheitsmaßnahmen zu ergreifen, um den möglichen negativen Einfluss zu beseitigen.
Ergebnisse
Infolgedessen bereitete das Team von ScienceSof- während 4 Monaten der Arbeit eine technische Beschreibung der erkannten Schwachstellen im System mit ihrer Klassifikation, wie schädlich sie für das System und Geschäft potentiell sind, vor. Wir stellten auch umsetzbare Empfehlungen bereit, um die offenbarten Sicherheitsprobleme zu beseitigen, sowie strategische Sicherheitsmaßnahmen, um die Unternehmensressourcen langfristig zu sichern.
Unmittelbar nach dem Erhalten des Berichtes startete der Kunde, die Empfehlungen zu implementieren und die erkannten Probleme zu beseitigen.
Technologien und Tools
Aircrack-ng, Acunetix Web Vulnerability Scanner, Burp Suite, Immunity Debugger, Metasploit, Nmap, OpenVAS, Skipfish, slowhttptest, sqlmap, XSpider, w3af, Wfuzz, ZAProxy.