Nach der Identifikation von Target Hosts und -Services kann man beginnen nach Schwachstellen zu scannen

Es gibt verschiedene Methoden, um Vulnerabilities zu erkennen. Ein üblicher Vulnerability Scanner

• kann Software erkennen, die auf offenen Ports aktiv ist,
• untersucht, ob die erkannten Versionen bekannte Sicherheitslücken haben
• hat aber ein Problem mit False Positives

• Discovery Phase → Es werden Informationen gesammelt
• Datenbank-Erstellung → zur späteren Analyse
• Known Vulnerabilities abgleichen → bekannte Sicherheitslücken filtern
• Erstellung eines Reports mit (vermuteten) Vulnerabilities

Beim Black-Box-Test wird ein System ausschließlich von außen beurteilt, ohne dass der Nutzer oder Tester weiß, was innerhalb des Systems geschieht. Ziel ist es, Reaktionen auf Testaktionen zu generieren. Eine Black Box bezieht sich auf ein System, dessen Verhalten vollständig über Input und Output beobachtet werden muss. Selbst wenn die interne Struktur der zu testenden Anwendung verstanden werden kann, entscheidet sich der Tester, sie zu ignorieren.
^{Quelle: https://www.computerweekly.com/de/definition/Black-Box-Test}

Ein authentifizierter Sicherheitsscan ist ein Schwachstellentest, der als angemeldeter (authentifizierter) Benutzer durchgeführt wird. Die Methode wird auch als eingeloggtes Scannen bezeichnet. ^{Quelle: https://www.techtarget.com/whatis/definition/authenticated-security-scan}

Während eines Erkennungsscans werden die folgenden Aktionen für jede einzelne Adresse in jedem Netzwerkblock durchgeführt:

• Es wird eine ICMP-Echo-(Ping-)Anforderung gesendet. Erfolgt beim ersten Versuch keine Antwort, wird ein weiterer ICMP-Ping gesendet.
• Es wird eine ICMP-Zeitstempelanforderung gesendet.
• Ein „TCP-Ping“ wird an 22 gebräuchliche TCP-Ports gesendet (21, 22, 23, 25, 53, 80, 110, 111, 135, 139, 143, 443, 445, 993, 995, 1723, 3306, 3389, 5900, 8080, 8400, 49154). TCP-Pings verwenden eine Abweichung vom TCP-Standard-Dreiwege-Handshake, um festzustellen, ob eine Maschine antwortet. Diese Methode sendet eine unaufgeforderte TCP-Synchronisierung (TCP SYN) an den angegebenen Port. Wenn ein aktiver Computer diesen Port abhört, sollte er einen Reset an die unaufgeforderte Anfrage zurücksenden.
• Die 12 häufigsten UDP-Ports werden auf Antwort getestet (Ports 53, 69, 111, 123, 137, 138, 161, 177, 445, 500, 1900, 4500).

^{Quelle: https://support.alertlogic.com/hc/en-us/articles/360029676332-Discovery-Scans}

Ein Full-Scan ist gründlich, dauert lange und ist maximal noisy im Netz. Dadurch fällt er schnell auf und kann blockiert werden.

nmap -p- 192.168.1.0/24
nmap -p1-65535 www.example.tld
nmap -sU -p1-65535 192.168.1.50

• Alle Ports scannen
• Alle Services nach Versionsinformationen abfragen
• OS-Footprinting
• Andere Aktionen
• Erzeugt die größtmögliche Menge an Resultaten, aber wird deutlich eher erkannt
• Techniken zur Umgehung einer IDS-Erkennung: Randomization der IP-Adressen und Ports, Verlangsamung der Scans

Versuche ich meine Scans zu verstecken, ist das Ergebnis nicht immer eindeutig, aber ich habe die Chance nicht entdeckt zu werden. So vermeide ich Footstaps und Gegenmaßnahmen.
siehe: https://ciksiti.com/de/chapters/4160-nmap-stealth-scan--linux-hint

Der Compliance Scan verlinkt Daten aus verschiedenen IT-Systemen, um Compliance-relevante Analysen durchzuführen, die aufgrund des bislang mangelnden Datenaustauschs nicht erhoben wurden. Der Umfang der Datenerhebung ist klar definiert und DSGVO-konform. Er schafft eine Grundlage zur Identifizierung und Minimierung eines entstandenen wirtschaftlichen Schadens.
^{Quelle: https://www.carolarinker.de/compliance-scan/}

In der Computersicherheit ist eine Side-channel Attacke jeder Angriff, der auf Informationen basiert, die aus der Analyse eines Computersystems gewonnen wurden, und nicht auf Schwächen im implementierten Algorithmus selbst (z. B. Kryptoanalyse und Softwarefehler). Timing-Informationen, Stromverbrauch, elektromagnetische Streuungen oder sogar Geräusche können eine zusätzliche Informationsquelle darstellen, die ausgenutzt werden kann.
Zu den allgemeinen Klassen von Seitenkanalangriffen gehören:

• Cache-Angriff – Angriffe, die auf der Fähigkeit des Angreifers basieren, Cache-Zugriffe des Opfers in einem gemeinsam genutzten physischen System wie in einer virtualisierten Umgebung oder einer Art Cloud-Dienst zu überwachen.
• Timing-Angriff – Angriffe, die darauf basieren, wie viel Zeit verschiedene Berechnungen (z. B. der Vergleich des angegebenen Passworts eines Angreifers mit dem unbekannten des Opfers) für die Ausführung benötigen.
• Power-Monitoring-Angriff – Angriffe, die sich den unterschiedlichen Stromverbrauch der Hardware während der Berechnung zunutze machen.
• Elektromagnetischer Angriff – Angriffe auf der Grundlage von durchgesickerter elektromagnetischer Strahlung, die direkt Klartext und andere Informationen liefern können. Solche Messungen können verwendet werden, um kryptografische Schlüssel unter Verwendung von Techniken abzuleiten, die denen in der Leistungsanalyse entsprechen, oder sie können bei nicht-kryptografischen Angriffen, z. B. TEMPEST -Angriffen (auch bekannt als van Eck Phreaking oder Strahlungsüberwachung), verwendet werden.
• Akustische Kryptoanalyse – Angriffe, die Geräusche ausnutzen, die während einer Berechnung erzeugt werden (eher wie eine Leistungsanalyse).
• Differentielle Fehleranalyse – bei der Geheimnisse entdeckt werden, indem Fehler in eine Berechnung eingeführt werden.
• Datenremanenz – bei der sensiblen Daten ausgelesen werden, nachdem sie vermeintlich gelöscht wurden. (z. B. Kaltstartangriff)
• Software-initiierte Fehlerangriffe – Derzeit eine seltene Klasse von Seitenkanälen, ist Row Hammer ein Beispiel, bei dem Off-Limits-Speicher geändert werden kann, indem zu oft auf angrenzenden Speicher zugegriffen wird (was zu einem Verlust der Zustandserhaltung führt).
• Optisch – bei dem Geheimnisse und sensible Daten durch visuelle Aufzeichnung mit einer hochauflösenden Kamera oder anderen Geräten mit solchen Fähigkeiten gelesen werden können (siehe Beispiele unten).

In allen Fällen ist das zugrunde liegende Prinzip, dass physikalische Effekte, die durch den Betrieb eines Kryptosystems (nebenbei) verursacht werden, nützliche zusätzliche Informationen über Geheimnisse im System liefern können, zum Beispiel den kryptografischen Schlüssel, teilweise Zustandsinformationen, vollständige oder teilweise Klartext und so weiter. Der Begriff Kryptophthora (geheime Degradation) wird manchmal verwendet, um die Degradation von geheimem Schlüsselmaterial auszudrücken, die aus einem Seitenkanalverlust resultiert.
^{Quelle: https://en.wikipedia.org/wiki/Side-channel_attack}

Ein Man-in-the-Middle-Angriff (MITM-Angriff) ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin, dass er den Kommunikationspartnern vortäuscht, das jeweilige Gegenüber zu sein.
^{Quelle: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff}

Eine Form von Offline-Angriffen auf Passwörter sind rainbow table-Angriffe. Diese Angriffe mittels rainbow tables stellen einen Kompromiss zwischen dem benötigten Zeitaufwand und benötigtem Speicherplatz für das Durchführen eines konkreten Versuchs des Knackens von Passwörtern dar. Der verringerte Zeitaufwand pro Angriff auf einen konkreten Passworthash wird dadurch erreicht, dass die sogenannten rainbow tables einmalig und somit bereits lange vor dem eigentlichen Angriffsversuch errechnet werden können.

In der Theorie könnte ein Angreifer für jedes Hashverfahren und eine definierte Menge von möglichen Passwörtern (z. B. alle Passwörter mit einer maximalen Länge von 8 Zeichen, bestehend aus Groß- und Kleinbuchstaben und Zahlen) eine Hash-Tabelle errechnen, in der jedem dieser Passwörter der korrespondierende Hashwert zugeordnet ist. Um einem Hashwert das oder die entsprechenden Passwörter zuzuordnen, muss dann nur noch diese Tabelle nach dem passenden Hash durchsucht werden, was sehr viel schneller geht, als alle Passwörter erneut zu hashen. <up>Quelle: https://www.prosec-networks.com/blog/rainbow-table-angriffe/ </sup>

Bei einem „Wörterbuchangriff“ wird in einen mit einem Passwort geschützten Computer oder Server eingebrochen, indem jedes Wort in einer Wörterliste systematisch durchprobiert wird. Ein Wörterbuchangriff kann außerdem genutzt werden, um den Schlüssel für eine verschlüsselte Nachricht oder ein verschlüsseltes Dokument zu finden. ^{Quelle: https://www.computerweekly.com/de/definition/Woerterbuchangriff-Dictionary-Attack}

• Priorisierung
• Remediation
• False-Positives aussortieren
• Exploitibability

• Gibt es einen Exploit?
• Muss man einen eigenen Exploit entwickeln
• Priorisieren
  • Severity
  • Welche Systeme sind betroffen
  • Wie wurde die Vulnerability entdeckt (manuell/Scan)
  • Wie kritisch ist das betroffene System/Asset…
  • Attack Vector, und ist das überhaupt relevant?
  • Workaround / Mitigation bereits vorhanden?
• Kritische Issues zuerst behandeln