Publiziert am 29. August 2022 von unter:

Pentesting Hackathon: Ein kleiner Einblick in die Welt der Hacker

Mit hausinternen Hackathons bieten wir Weiterbildung der besonderen Art an. Kürzlich gab es einen Hackathon zum Pentesting mit Metasploitable – zu Deutsch: um das Üben freundlicher Hackerangriffe, um Schwachstellen der IT-Sicherheit zu identifizieren. Lesen Sie hier, wie wir unseren Mitarbeiter:innen beibringen, in Rechner und Netzwerke einzudringen, um diese besser schützen zu können.

Was ist Pentesting –
und wie funktioniert es mit Metasploitable?

Beim Pentesting (abgeleitet von Penetrationstest) werden IT-Systeme manuell auf Schwachstellen und Sicherheitslücken geprüft. Dabei wird versucht, in das System einzudringen, es also zu hacken.

Um das praktisch zu üben, kann man die Testumgebung Metasploitable 2 nutzen: ein absichtlich vulnerables Image für  VMs (virtuelle Maschinen) und Server, das viele verschiedene Schwachstellen eingebaut hat. Diese Schwachstellen konnten die Teilnehmenden des q.beyond Hackathons ausnutzen und somit selbst einmal erleben, wie ein Hacker in ein System eindringt.

Die notwendigen Werkzeuge fanden die Pentester im bereitgestellten Kali Linux. Bei diesem Betriebssystem handelt es sich um eine Linux-Distribution, die viele der fürs Pentesting benutzten Programme schon vorinstalliert hat. Es ist extra für Hacker entworfen worden.

Das Ziel dieses Hackathons war es, Cyber Security mal aus der Sicht der Angreifer zu zeigen.

 

Cyber Security mal von der anderen Seite betrachtet

Was kann ein Hacker potenziell machen, um Schwachstellen in einem System zu finden und am Ende diese zu nutzen, um einzudringen? Wenn man das versteht, weiß man besser, wo die Angriffsvektoren eines Hackers liegen und wie man gegen die Lücken im System vorgehen kann. Und so lernten unsere Teilnehmenden – die aus den unterschiedlichsten Bereichen des Unternehmens kamen – ein wenig, wie ein Hacker zu denken.

 

Hacking lernt man nicht an einem Tag

Natürlich ist es völlig unmöglich, jemandem an einem Tag alle Möglichkeiten zu zeigen, die es im Hacking- und Pentesting-Bereich gibt.

Immerhin konnten wir in dieser Fortbildung einen kurzen Einblick geben, wie alles funktioniert. Denn auch das schafft Aufmerksamkeit für das Thema und weist auf Fehler hin, die im Zusammenhang mit Sicherheitsrisiken gemacht werden.

Als weiteren Lerneffekt gab es Wissen über verschiedene Programme, die nicht nur für Pentester wichtig sind, sondern auch für Netzwerkanalysen genutzt werden.

 

Screenshot Pentesting Hackathon online

Hackathon über Pentesting: Für die Online-Schulung nutzten das Hacker-Team verschiedene Plattformen, die via Opensource frei verfügbar und in IT-Kreisen beliebt sind. Der Screenshot zeigt links die Teilnehmenden der Schulung im virtuellen Raum und rechts die Phasen des Pentesting. Bild: © q.beyond AG. > Bild für Vergrößerung bitte anklicken.

Wie lief der Pentesting-Hackathon ab?

Das Hackathon-Team – Jochen Maier, Jan Schneider, Yannick Mau und ich (Yannik Wüste) aus der Expertising Community von q.beyond – hatten die Schulung über einen langen Zeitraum vorbereitet, denn etliche Komponenten wurden dafür benötigt.

Für alle Teilnehmenden stellten wir virtuelle Maschinen mit Kali Linux zur Verfügung, auf die sich die unsere “Hacker” per SSH verbinden konnten. SSH ist ein Netzwerkprotokoll, das den sicheren Betrieb von Netzwerkdiensten über ungesicherte Netzwerke ermöglicht. Damit konnten sie auf Metasploitable-2-Server zugreifen und so dann den praktischen Teil des Themas entdecken. Zusätzlich hatten wir mehrere Vorträge zum Pentesting vorbereitet, damit es eine gute Mischung aus praktischem und theoretischem Wissen wurde.

 

Hackathon bei q.beyond: Virtuelles Arbeiten in gemischten Teams

Morgens versammelten sich die Teilnehmer:innen, wie derzeit so oft, im virtuellen Raum. Dazu nutzten wir Workadventure. Dieses Collaboration Tool hatte sich bereits in einem ersten Hackathon im Frühjahr als ideal für ein solches Event erwiesen, weil es sich sehr gut für Gruppenarbeit eignet.

Besonders wichtig war uns, dass in gemischten Teams gearbeitet wurde: Diejenigen, die schon etwas Erfahrung mitbrachten, kamen mit unerfahrenen Teilnehmenden zusammen.

Einleitend erhielten die Teilnehmenden Informationen zum grundsätzlichen Vorgehen beim Hacking und zu den fünf Phasen – Reconnaissance, Access, Move, Exit und Analysis – die vorgestellt und kurz erläutert wurden.

Ins Detail ging es dann mit einem vertiefenden Referat über Phase eins: das Beschaffen von Informationen im Hacking. Damit will man die Achillesferse des „Opfers“ finden, um sie in späteren Phasen des Hackings ausnutzen zu können.

 

Fortbildung der besonderen Art: Die Expertising Community von q.beyond

Schulungen brauchen nicht immer externe Trainer:innen, denn das Know-how ist oft im Unternehmen vorhanden. Bei q.beyond gibt es daher die sogenannte Expertising Community, eine Gruppe von Mitarbeitenden von Mitarbeitenden, die ihr technisches Wissen an Kolleginnen und Kollegen weitergeben.

Je nach Thema findet sich aus dieser Community eine Gruppe zusammen, die zum Beispiel einen Hackathon vorbereitet. Im Fall des Pentesting mit Metasasploitable zählten zum Team der Projektmanager Product Owner Jochen Maier, der Security Consultant Jan Schneider und die beiden , der duale Studierende DevOps Engineers Yannick Mau und der DevOps Engineer Yannik Wüste.

Nun ging es endlich in die Pentesting-Praxis

Im Praxisteil wurden die Pentester auf die Metasploitable-Maschinen losgelassen. Zur Orientierung gaben wir ihnen einen Leitfaden, in dem je ein Ansatz für ein paar der Hacks auf den Metasploitable- 2 -Systemen beschrieben wurde.

Die Teilnehmenden konnten aber auch eigene Ansätze nutzen. Mit diesen Möglichkeiten fanden sie schnell die ersten Schwachstellen des Systems und konnten direkt angreifen – was allen viel Spaß machte.

Im weiteren Verlauf des Hackathons wechselten Theorie- und Praxisblöcke ab. So ging es in einem Vortrag zum Beispiel darum, wie man in Systeme eindringt und diesen Zugang auch behält. Außerdem wurde auf die Cyber-Security-Lösungen von q.beyond hingewiesen, die wir unseren Kunden anbieten.

In der Feedback-Runde am Ende dieses spannenden Schulungstages waren sich die Teilnehmenden einig: Es war ein großartiges Erlebnis mit vielen Learnings und neuen Erfahrungen.

 

Mehr zum Thema Hackathon

… lesen Sie im q.beyond Blog HIER

 

Beitragsbild: © RapidEye / Getty Images

Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse.