Im Rahmen von technischen Sicherheitsüberprüfungen sind Analysten immer wieder vor Herausforderungen gestellt. Eine dieser ist es, eine möglichst umfassende Dokumentation der Vorgänge vorzulegen. Damit soll eine transparente Nachvollziehbarkeit erreicht werden, die sowohl dem Analysten selbst als auch dem Kunden weiterhelfen können soll. Bei Problemen und Unklarheiten kann sich nämlich direkt auf die konkreten Daten bezogen werden, wodurch Vermutungen eliminiert werden können.

Nachfolgend soll aufgegliedert werden, für welchen Prozess wir uns bei technischen Sicherheitsüberprüfungen entschieden haben.

Anfrage

Zu Beginn einer aktiven technischen Prüfung steht die Anfrage. Das ist jene Anfrage, die vom Quellsystem des Analysten zum Zielsystem des Kunden geschickt werden soll. Dies kann zum Beispiel der Zugriff von einem Webbrowser auf einen Webserver sein. Die effektive HTTP-Anfrage dieses Zugriffs wird festgehalten:

GET ../../etc/passwd HTTP/1.1
Host: www.scip.ch
User-Agent: scip Web Exploit Framework/3.2

Erwartete Antwort

Eine Prüfung kann nur dann stattfinden, wenn das gegebene Resultat mit einem erwarteten Resultat verglichen werden kann. Jeder Test muss also ein definiertes erwartetes Resultat aufweisen. Im Fall der gezeigten Prüfung wird eine 404 Not Found Meldung erwartet, um diesen Angriffsvektor ausschliessen zu können. Diese Antwort sieht in ihren Grundzügen so aus:

HTTP/1.1 404 Not Found
Date: Mon, 5 Apr 2010 09:40:55 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2270
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Empfangene Antwort

Im Gegensatz zur erwarteten Antwort wird nun jedoch die effektiv vom Zielsystem provozierte und damit empfangene Antwort dokumentiert. Diese kann entweder von der erwarteten Antwort abweichen oder im weitesten Sinn dieser entsprechen:

HTTP/1.1 200 Found
Date: Mon, 5 Apr 2010 09:59:10 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2348
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/plain

Zusätzliche Details

Die zentralen Eigenschaften des Tests mögen zwar damit weitestgehend dokumentiert sein, jedoch können diese noch mit zusätzlichen Details aufgewertet werden. Dies können Zeitangaben (Start und Ende des Tests sowie durchschnittliche Antwortzeit des Servers) oder technische Details aus anderen Analysen (z.B. Anzahl Hops bis zum Zielsystem) sein.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)