Podcast #31 Penetrationstest mit Fuzzing

🕒 Hördauer: 37  Minuten

Wie unterscheidet sich ein Penetrationstest vom Testen auf Sicherheitslücken? Felix erläutert im Podcast im Dialog mit Markus wie mit Penetrationstests Einfallstore für Angriffe auf die IT-Sicherheit von Unternehmen gefunden werden können. Er erklärt, was Fuzzing ist und was es bringt, Fuzzing für Penetrationstests einzusetzen. Auf die Bestandteile eines Fuzzers geht er detailliert ein.
 

Hör' Dir hier den ganzen Podcast an:

 

Diese Themen erwarten Dich:

[00:28] Überblick über den Podcast

[00:51] Vorstellung Felix Diel

[01:20] Definition Penetrationstest

[01:58] Überlappung mit Testen auf Sicherheitslücken

[02:51] Penetrationstest vs Test auf Sicherheitslücken

[03:49] Von Schwachstellen zum Angriff

[05:33] Abwehr solcher Angriffe

[07:33] Faktor Mensch in diesem Zusammenhang

[11:25] Fuzzing als Testtechnik beim Testen auf Sicherheitslücken

[13:15] Praxiseinsatz von Fuzzing

[15:34] Vorausetzungen für den Einsatz von Fuzzern

[15:45] Ausschlusskriterien

[16:33] Günstige Bedingungen

[17:15] Eingabedaten als Thema bei Fuzzern

[19:06] Auswahl passender Eingabedaten

[19:48] Ziele beim Einsatz grammatikbasierter Fuzzer

[21:30] Vorteile beim Einsatz von KI

[22:18] Betriebsaufwände bei grammatikbasierten Fuzzern

[23:40] Evolutionäre Fuzzer

[24:48] Automatische Erstellung von Bugs

[26:20] Weitere Komponenten eines Fuzzers

[27:08] Optimierungsmöglichkeiten für die Testdatenübergabe

[28:53] Alternative Möglichkeiten der Testdatenübergabe

[29:40] Überwachung des SUTs

[30:50] Zweck eines Sanitizers

[32:44] Fuzzer als Forschungsgebiet

[34:17] Zu kalkulierende Aufwände

[35:09] Praxiseinsatz von Fuzzern zum Penetrationstest

[35:49] Kommerzielle Anbieter

[36:23] Weitere Pläne

[37:09] Kontaktaufnahme

Felix Diel kann per email (f.diel@proxcel.de) kontaktiert werden.

Sein Github-Profil ist unter  https://github.com/marvi3 zugänglich

 

Einleitung zum Thema Sicherheit

In der digitalen Welt, in der wir leben, ist das Thema Sicherheit allgegenwärtig. Gerade in der IT-Branche wird diesem Aspekt große Bedeutung beigemessen. Doch was genau versteht man unter Penetrationstests und Fuzzing? Diese Frage stellte ich mir auch, bevor ich mich mit Felix Diel, einem Experten auf diesem Gebiet, zusammensetzte. In einem aufschlussreichen Gespräch erörterten wir die Grundlagen dieser Techniken und deren Bedeutung für die Sicherheit von Informationssystemen.

Die Rolle des Menschen in der IT-Sicherheit

Ein wesentliches Thema unseres Gesprächs war auch die Rolle des Menschen in der IT-Sicherheit. Trotz fortschrittlicher Technologien bleibt der Mensch oft das schwächste Glied. Passwörter werden schlecht gewählt oder Zugänge leichtfertig gewährt. Hier betonte Felix die Wichtigkeit regelmäßiger Schulungen und Bewusstseinsbildung bei Mitarbeitern.

Was sind Penetrationstests?

Penetrationstests, oft als Pentesting bezeichnet, sind gezielte Angriffe auf ein System, um Schwachstellen zu identifizieren. Diese Tests simulieren Hackerangriffe unter kontrollierten Bedingungen, um potenzielle Einfallstore für echte Angreifer zu finden. Felix erklärte mir, dass es dabei nicht nur um das Aufspüren von Schwachstellen geht, sondern auch darum, falsche Einstellungen und mögliche menschliche Fehler zu erkennen.

Fuzzing: Eine spezielle Form der Sicherheitstests

Eine spezifische Methode innerhalb der Sicherheitstests ist das Fuzzing. Dabei werden automatisiert zufällige Daten an ein Programm gesendet, um unerwartete oder fehlerhafte Reaktionen auszulösen. Diese Technik hilft dabei, verborgene Sicherheitslücken aufzudecken, die sonst unentdeckt bleiben könnten. Felix teilte seine Erfahrungen mit dieser Methode und betonte ihre Effektivität bei der Identifizierung von Schwachstellen.

Praktische Erfahrungen mit Fuzzing

Felix teilte spannende Anekdoten aus seiner praktischen Arbeit mit Fuzzing-Techniken. Er erklärte, wie er spezialisierte Tools entwickelt hat, um effizient Schwachstellen in Software zu finden. Besonders interessant war zu hören, wie solche Tools nicht nur bei großen Unternehmen wie Google eingesetzt werden, sondern auch kleineren Entwicklerteams zur Verfügung stehen können.

Zukuft des Penetrationstests mit Fuzzing

Unser Gespräch endete mit einigen Abschlussgedanken zur Zukunft der Penetrationstests und des Fuzzings. Felix zeigte sich optimistisch hinsichtlich der Weiterentwicklung dieser Methoden und ihrer zunehmenden Bedeutung für die IT-Sicherheit im Allgemeinen. Es wurde deutlich: Um in einer immer digitaler werdenden Welt sicher zu bleiben, sind fortgeschrittene Techniken wie diese unverzichtbar.

Um mehr über diese spannenden Themen rund um IT-Sicherheit zu erfahren und tiefer in unsere Diskussion einzutauchen, laden wir Sie herzlich ein, in unsere Podcast-Episode reinzuhören.

 

Veröffentlicht am 06.Juni 2024

Aktualisiert am 05.Februar 2025

Markus Thaler

Senior Testmanager, Testarchitekt

Markus Thaler war 22 Jahre in der Commerzbank tätig, wo er sich mehr als 10 Jahre um Teststandards, Testwerkzeuge und Testautomatisierung in einer zentralen Funktion gekümmert hat, bevor er nach einer Zwischenstation im Testinfrastrukturmanagement acht Jahre als Testmanager in der Risikofunktion der Commerzbank gewirkt hat. Vor der Commerzbank konnte er Testerfahrungen bei Lufthansa, Siemens, Nestle und der DZ-Bank gewinnen. Bei Qytera war er als Senior Testmanager, Testarchitekt und Trainer tätig.

Finden Sie weitere interessante Artikel zum Thema: