Wie unterscheidet sich ein Penetrationstest vom Testen auf Sicherheitslücken? Felix erläutert im Podcast im Dialog mit Markus wie mit Penetrationstests Einfallstore für Angriffe auf die IT-Sicherheit von Unternehmen gefunden werden können. Er erklärt, was Fuzzing ist und was es bringt, Fuzzing für Penetrationstests einzusetzen. Auf die Bestandteile eines Fuzzers geht er detailliert ein.
Podcast #31 Penetrationstest mit Fuzzing
Veröffentlicht: 06. Juni 2024
· Aktualisiert: 05. Februar 2025
Hör' Dir hier den ganzen Podcast an:
Diese Themen erwarten Dich:
[00:28] Überblick über den Podcast
[00:51] Vorstellung Felix Diel
[01:20] Definition Penetrationstest
[01:58] Überlappung mit Testen auf Sicherheitslücken
[02:51] Penetrationstest vs Test auf Sicherheitslücken
[03:49] Von Schwachstellen zum Angriff
[05:33] Abwehr solcher Angriffe
[07:33] Faktor Mensch in diesem Zusammenhang
[11:25] Fuzzing als Testtechnik beim Testen auf Sicherheitslücken
[13:15] Praxiseinsatz von Fuzzing
[15:34] Vorausetzungen für den Einsatz von Fuzzern
[15:45] Ausschlusskriterien
[16:33] Günstige Bedingungen
[17:15] Eingabedaten als Thema bei Fuzzern
[19:06] Auswahl passender Eingabedaten
[19:48] Ziele beim Einsatz grammatikbasierter Fuzzer
[21:30] Vorteile beim Einsatz von KI
[22:18] Betriebsaufwände bei grammatikbasierten Fuzzern
[23:40] Evolutionäre Fuzzer
[24:48] Automatische Erstellung von Bugs
[26:20] Weitere Komponenten eines Fuzzers
[27:08] Optimierungsmöglichkeiten für die Testdatenübergabe
[28:53] Alternative Möglichkeiten der Testdatenübergabe
[29:40] Überwachung des SUTs
[30:50] Zweck eines Sanitizers
[32:44] Fuzzer als Forschungsgebiet
[34:17] Zu kalkulierende Aufwände
[35:09] Praxiseinsatz von Fuzzern zum Penetrationstest
[35:49] Kommerzielle Anbieter
[36:23] Weitere Pläne
[37:09] Kontaktaufnahme
Felix Diel kann per email (f.diel@proxcel.de) kontaktiert werden.
Sein Github-Profil ist unter https://github.com/marvi3 zugänglich
Einleitung zum Thema Sicherheit
In der digitalen Welt, in der wir leben, ist das Thema Sicherheit allgegenwärtig. Gerade in der IT-Branche wird diesem Aspekt große Bedeutung beigemessen. Doch was genau versteht man unter Penetrationstests und Fuzzing? Diese Frage stellte ich mir auch, bevor ich mich mit Felix Diel, einem Experten auf diesem Gebiet, zusammensetzte. In einem aufschlussreichen Gespräch erörterten wir die Grundlagen dieser Techniken und deren Bedeutung für die Sicherheit von Informationssystemen.
Die Rolle des Menschen in der IT-Sicherheit
Ein wesentliches Thema unseres Gesprächs war auch die Rolle des Menschen in der IT-Sicherheit. Trotz fortschrittlicher Technologien bleibt der Mensch oft das schwächste Glied. Passwörter werden schlecht gewählt oder Zugänge leichtfertig gewährt. Hier betonte Felix die Wichtigkeit regelmäßiger Schulungen und Bewusstseinsbildung bei Mitarbeitern.
Was sind Penetrationstests?
Penetrationstests, oft als Pentesting bezeichnet, sind gezielte Angriffe auf ein System, um Schwachstellen zu identifizieren. Diese Tests simulieren Hackerangriffe unter kontrollierten Bedingungen, um potenzielle Einfallstore für echte Angreifer zu finden. Felix erklärte mir, dass es dabei nicht nur um das Aufspüren von Schwachstellen geht, sondern auch darum, falsche Einstellungen und mögliche menschliche Fehler zu erkennen.
Fuzzing: Eine spezielle Form der Sicherheitstests
Eine spezifische Methode innerhalb der Sicherheitstests ist das Fuzzing. Dabei werden automatisiert zufällige Daten an ein Programm gesendet, um unerwartete oder fehlerhafte Reaktionen auszulösen. Diese Technik hilft dabei, verborgene Sicherheitslücken aufzudecken, die sonst unentdeckt bleiben könnten. Felix teilte seine Erfahrungen mit dieser Methode und betonte ihre Effektivität bei der Identifizierung von Schwachstellen.
Praktische Erfahrungen mit Fuzzing
Felix teilte spannende Anekdoten aus seiner praktischen Arbeit mit Fuzzing-Techniken. Er erklärte, wie er spezialisierte Tools entwickelt hat, um effizient Schwachstellen in Software zu finden. Besonders interessant war zu hören, wie solche Tools nicht nur bei großen Unternehmen wie Google eingesetzt werden, sondern auch kleineren Entwicklerteams zur Verfügung stehen können.
Zukuft des Penetrationstests mit Fuzzing
Unser Gespräch endete mit einigen Abschlussgedanken zur Zukunft der Penetrationstests und des Fuzzings. Felix zeigte sich optimistisch hinsichtlich der Weiterentwicklung dieser Methoden und ihrer zunehmenden Bedeutung für die IT-Sicherheit im Allgemeinen. Es wurde deutlich: Um in einer immer digitaler werdenden Welt sicher zu bleiben, sind fortgeschrittene Techniken wie diese unverzichtbar.
Um mehr über diese spannenden Themen rund um IT-Sicherheit zu erfahren und tiefer in unsere Diskussion einzutauchen, laden wir Sie herzlich ein, in unsere Podcast-Episode reinzuhören.
Testautomatisierung Beratung
Sie möchten Ihre Testautomatisierung optimieren? Unsere Experten helfen Ihnen bei der Auswahl der richtigen Tools, Best Practices und CI/CD-Integration.
Jetzt anfragen