Penetrationstest

Unser Penetrationstest ist hervorragend geeignet um die Sicherheit Ihrer bestehenden oder neuen IT-Infrastruktur zu testen und mögliche Sicherheitslücken zu schließen, sowie Risiken für Ihre Systeme im Unternehmen zu minimieren.

Bei unserem Penetrationstest gehen wir so vor, wie Sie es von echten Angreifern erwarten würden. Mehrere Modelle können bei unserem Penetrationstest ausgewählt und durchgeführt werden, um eine hohe Erfolgsaussicht zu garantieren.

Penetrationstests finden statt, wenn Organisationen Sicherheitsexperten von Drittanbietern beauftragen, Angriffe von echten Eindringlingen auf ihre Systeme, ihre Infrastruktur und ihre Mitarbeiter zu simulieren. Ein Penetration Test, bietet Ihnen eine gründliche Analyse der aktuellen Sicherheit Ihrer Organisation. Die Ergebnisse der Penetrationstests werden in einem Executive Report präsentiert, der Details über die bestehende Sicherheitslage Ihres Unternehmens, mögliche Konsequenzen eines tatsächlichen Angriffs und normalerweise, die empfohlenen Lösungen von Janotta enthält, um Ihre Sicherheit zu härten.

Das Ziel ist Schwachstellen in Organisationen, Produkten und IT aufzudecken, bevor es einem böswilligen Angreifer gelingt, IT-Sicherheitsvorkehrungen zu umgehen, oder zu überwinden und  Sicherheitslücken auszunutzen.

Professionell bis in das Detail

  • Risiko Analyse
  • Sicherheitslücken Scan
  • Assessment
  • Penetrationstest
  • Onesite Audit
  • Schulung

Fahren Sie mit der Maus über den Grafischen dargestellten Kuchen, und erfahren Sie mehr zu den Bestandteilen eines professionellen Penetrationstest.

Das Penetrationstest Vorgehen

Mit uns als Penetrationstest Partner gehen Sie kein Risiko ein. Mit unserem Penetrationstest kombinieren Sie höchstes Know how bei der Schwachstellensuche, und bei der Cybersicherheitsforschung.

  • Footprinting – Wir nehmen einen Fußabdruck Ihres Systems
  • Systeme und Ports identifizieren (Scanning)
  • Dienste identifizieren (Fingerprinting)
  • Verwundbarkeitsanalyse Ihrer Systeme
  • Verwundbarkeiten testen (Exploit)
  • Zugriff ausweiten (Privilege Escalation)
  • Zugriff sicherstellen (Backdooring)
  • Systeme säubern (Cleaning)
  • Weitere Attacken (Target Network)
Penetrationstest

Mit dem Penetrationstest, wir finden Schwachstellen in Systemen und Software

Unsere Sicherheitsexperten verfügt über weltweit anerkanntes Wissen zu allen Aspekten der Penetrationstests, einschließlich umfassendem Zugriff auf alle Toolsets und führenden Technologien.

Im Gegensatz zu den meisten anderen Sicherheitsunternehmen, die ebenfalls Penetrationstests durchführen, setzt Janotta erfahrene Sicherheitsspezialisten ein, um Ihre Systeme manuell zu scannen. Diese Spezialisten sind Experten bei der Entwicklung von Exploits, die auf bestimmte Sicherheitslücken in Ihren Systemen abzielen. Sie initiieren dann Angriffe, die auf die in Ihren Systemen entdeckten Schwächen zugeschnitten sind.

Unser Ansatz ist äußerst effektiv beim Ausnutzen maximaler Schwachstellen in Ihren Systemen. Nach dem Penetrationstest sind wir in der Lage ihre Sicherheitslücken zu schließen.

Wir reflektieren, was ein konzentrierter, erforschter und geplanter Angriff in einer „realen“ Situation Ihrem Unternehmen antun könnte. Das automatisierte Scannen spiegelt den am wenigsten anspruchsvollen Hacker wider, dem Sie begegnen werden, denn diese automatisierten Scan-Tools sind für die Öffentlichkeit leicht zugänglich.

Mit der adaptiven Methodologie von Janotta Partner Consulting, können wir Schwachstellenketten entdecken, die in den tiefsten Ebenen Ihrer Informationstechnologie verborgen sind. Unser Team nutzt das laterale Denken von Hackern, um Beziehungen zwischen Sicherheitslücken zu erkennen, die zusammen auftreten oder sich „verketten“.

Ein weiteres einzigartiges Merkmal unserer Tests ist, dass wir bei der Simulation der Angriffe von tatsächlichen Hackern Betriebsunterbrechungen auf ein Minimum beschränken. Normalerweise wissen Ihre Mitarbeiter gar nicht, dass wir da sind. So geschieht es in der realen Welt.

Ein gezielter Einbruch in ein IT-System, sollte mindestens einmal im Jahr Erfolgen. Warum Unternehmen Ihre IT-Systeme, Computer und Mobilen Geräte mit Penetrationstests untersuchen lassen, liegt auf der Hand:

Daten sollen geschützt bleiben und nicht in die Falschen Hände geraten.

Sie profitieren in vielfach unserem unserem Penetration Testing Service:

  • Mit dem Penetrationstest Sicherheitslücken erkennen – Beim Penetrationstest wird ein neutraler Blick auf Ihre Netzwerksicherheit, auf Ihre Anwendungssicherheit, auf Ihre Computer und Daten gelegt und vorhandene Sicherheitslücken auf aufgedeckt.
  • Sicherheitslücken in IT-Systemen Sicherheitslücken können an verschiedenen Stellen in IT-Systemen lauern. Diee meisten Sicherheitslücken entstehen durch Software, Anwendungen, Webanwendungen aber auch in Netzwerken. Nach Abschluss des Penetration Tests, erhalten Sie konkrete Handlungsempfehlungen für Ihre Sicherheit.

Unsere Vier Pentest Experten erstellen nach erfolgtem Penetrationstest einen aufgeschlüsselten Bericht, in dem Ergebnisse transparent, verständlich und Nachvollziehbar dargestellt werden. Dazu gehört unter anderem auch eine Risikoeinschätzung sowie der Hinweis auf konkretes Optimierungspotenzial.

Zu unserem Penetrationstest werden wir ein ausführliches Vorgespräch mit Ihnen führen. Während des Penetrationstest Vorgespräches erhalten wir Zugang zu brisanten Informationen über die Infrastruktur der Institution und deren zu erwartenden Schwachstellen. Daher lautet unsere Empfehlung: Das Vorgespräch sollten Sie einem abhörsicheren Raum stattfinden lassen.

In unseren Räumlichkeiten finden Sie die Möglichkeiten einen Abhörsicheren Raum für das Penetrationstest Vorgespräch zu nutzen. Außerdem bieten wir Ihnen während des gesamten Auftrages, eine kostenlose Abhörsichere Kommunikationsleitung an:

  • NDA (Non Disclosure Agreement)
  • Speicherzeit von Daten
  • Geheimschutz
  • Benachrichtigung von betroffenen Personen
  • Ansprechpartner
  • Projektziele und Projekt Wünsche
  • Der Pentest Prüfumfang:
  • Pentest Prüfzeitraum
  • Die Art der Dokumentation
  • Verantwortlichkeiten wärmend des Penetrationstests
  • Der gesamte Ablauf des Penetrationstests.

Benötigen Sie einen reinen Penetrationstest oder komplettes Sicherheitsaudit? Wir beraten Sie angemessen zu allen Möglichkeiten der professionellen IT-Sicherheit.

Planen Sie für dieses Vorgespräch bitte einen Vormittag. Wir berechnen für das Erst Vorgespräch, eine Tagespauschale zuzüglich Anfahrtskosten.

Der Vorteil von Penetrationstests besteht in einem erhöhten Sicherheits- und Sicherheitsbewusstsein für Ihr Unternehmen. Sie erhalten umfassende und umsetzbare Berichte und Analysen, die Ihnen die Planung, Strategien und praktische Lösungen für Ihre Sicherheitsmängel erleichtern. Sie lernen die Angriffe kennen, für die Ihre Systeme und Netzwerke anfällig sind. Sie werden verstehen, ob Ihre aktuellen Abwehrmaßnahmen Ihre Organisation vor möglichen Angriffen schützen würden. Ihre risikoreichen Schwachstellen werden aufgedeckt. Der vielleicht wichtigste Vorteil von Penetrationstests, bei denen eine externe Partei eingesetzt wird, ist, dass das gewonnene Wissen sowohl dem Management als auch dem Personal hilft, die „Sicherheitswahrheit“ zu erkennen und Mythen wie „es könnte uns nicht passieren“ zu zerstreuen.

Der Penetrationstest bietet ein unvoreingenommenes, realistisches Abbild Ihrer bestehenden Sicherheit, und bietet Experten zur Behebung von Risiken, die mit den besten Sicherheitsverfahren übereinstimmen. Während Penetrationstests das ultimative Werkzeug sind, um die Gesamtsicherheit in Ihrem Unternehmen zu stärken, bietet Janotta Partner Consulting das ultimative Penetrationstest-Team.

  • Reputation und Finanzen schützen – Der Penetrationstest unterstreicht das Engagement des Unternehmens im Bereich IT-Sicherheit. Das verbessert einerseits die Reputation des Unternehmens und schafft Vertrauen. Die unabhängige Prüfung schützt andererseits auch vor Kosten, die ein erfolgreicher Angriff auf das Unternehmensnetzwerk verursacht.
  • Zeit, Ressourcen und Kosten im Blick haben – Die Kosten für den Penetrationstest sind transparent und kalkulierbar. Außerdem spart die externe Dienstleistung Pentest Ihre  Zeit sowie Ressourcen und erfordert Ihrerseits nur wenig Vorbereitung.

Social Engineering Tests, benötigen stets eine seperate Abstimmung mit den Verantwortlichen in Ihrem Unternehmen. Der Grund ist einfach: „Ein Social Engineering Test, verspricht einen hohen Erfolg darauf, das wir tatsächlich auch an Informationen gelangen, die höchst kritisch sind“. In der realem Welt, könnte ein Social Engineering Angriff, Ihrem Unternehmen einen hohen finanziellen sowie technischen Schaden zufügen.

Mit einem Social Engineering Test, werden menschliche Schwachstellen und menschliche Fehler aufgedeckt, die Ihnen Daten und somit Ihr vermögen kosten können. Dabei geben sich unsere Mitarbeiter beispielsweise aus neuer Mitartbeitier Ihrer Firma aus um im Arbeitsworkflow teilhabe, und somit an Daten zu gelangen. Ebenso wird bei einem Social Engineering Test, die Bestechlichkeit Ihrer Mitarbeiter getestet und ausgewertet.

Die Ziele eines Social Engineering Test sind:

  • Schwächen Ihrer Belegschaft aufzudecken
  • Niemanden nach einem Social Engineering Test zu bestrafen, die betreffende Person aber zu schulen und und die Schwächen des Mitarbeiters aufzuarbeiten
  • Menschliche Fehler vermeiden

Erfahren Sie mehr über den Social Engineering Test>

Bei der Erstellung eines Penetrationstests Konzeptes, werden Sie stets in die Planungen einbezogen. In engen Absprachen mit Ihren Verantwortlichen, Planen wir Ihr Penetrationstest Projekt individuell, vollkommen auf Sie zugeschnitten. Zur Erstellung des Projektes ist ein Vorgespräch notwendig. Anhang gesammelter Informationen während des Vorgespräches, werden wir Ihr dem Konzept beginnen und nach Erstellung ihren Verantwortlichen vorlegen.

Penetrationstest Durchführungskonzept

Generell ist es nicht möglich sich an Standard Durchführungskonzepte wärmend eines Penetrationstes zu Orientieren. Da jedes IT-System individuell gestaltet ist.

  • Die Sicherheit jener Systeme, die über Verbindungen zu öffentlichen Netzen verfügen, unterliegen in besonderer Weise unautorisierten, meist anonymen Zugriffsversuchen. In dieser Situation werden Testmethoden benötigt, die sich des Blickwinkels der Angreifer bedienen, um möglichst reale Testbedingungen schaffen zu können.

Unser Durchführungskonzept schafft reale Einbruchs und durchdringungsversuche in alle IT Systeme, Anwendungen, Software, Netze, Netzwerke oder Mobile Geräte. Bei bedarf entwickeln wir eigene Werkzeuge und Tool, so wie es von realen Angreifern auch getan wird. Wir verlassen uns nicht auf Automatisierte Angriffstechniken.

Der Penetrationstest Bericht

  • Ausführlicher Bericht mit Risikoabschätzung – Sie erhalten von uns einen Ausführlichen Penetrationstest Bericht mit abschließender Präsentation Vor Ort.
  • Lösungs-/Verbesserungsvorschläge – Transparente dargestellte berichte erfassen ebenfalls, wie Sie sich in Zukunft vor Angriffen besser schützen können.
  • Überprüfung der Wirksamkeit von umgesetzten Maßnahmen/Verbesserungen– Wärmend unserer Nachtbetreuung prüfen wir regelmäßig Ihre Sicherheit.

Während eines Penetrationstest werden simulierte Angriffe, (Cyberangriffe, Attacken, DDOS Angriffe) durchgeführt. Die Angriffstechnik hängt dabei sehr stark von Ihrem Projekt oder vom Einzelfall ab. Pauschal können wir einige Angriffe benenn,  die wir bei einem Pentest standardmäßig durchführen, wenn eine entsprechende Option gebucht wurde.

Da Angriffstechniken sehr stark von einem entsprechenden System abhängig sind, ist bei Projektbeginn ein Erstgespräch erforderlich, indem Haargenau besprochen wird, welche Angriffe wann durchgeführt werden.

Die Standard Angriffstechniken sind:

  • Netzwerk Scans
  • Man in the Middle
  • Port Scans
  • Spoofing
  • DNS Hacking (Umleitung, fälschen)
  • Manuelle Angriffe wie SQLi Injektionen
  • Automatische Angriffe wie XSS (Cross Site Scripting)
  • SSH Hacking
  • DDOS Angriffe
  • Ahishing Tests
  • Schwachstellen Scans
  • Passwort Angriffe
  • Soziale Manipulation
  • Reale Einbruchsversuche
  • Automatisierte Angriffe wie Bots
  • Anwendung von Cyber-Spionage
  • (Siehe Wissenswertes zum Penetrationstest>)

Software basierte Angriffe während eines Penetrationstest

Unser Spezialservice für Software basierte Angriffe, sieht die Anwendung von Trojanern, Exploits, Hacking Tool, Keyloggern und weiteren Software basierten Angriffstechniken während eines Penetrationstests vor.

Die Durchführung von Penetrationstests kann durch Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner, Paketgeneratoren wie HPing 2/3 oder Mausezahn und Passwortcracker wie John the Ripper. Zudem stehen zunehmend mehr Werkzeuge zur Verfügung, die speziell für Sicherheitstests entwickelt wurden, häufig aufgrund der Überprüfbarkeit des Quellcodes aus dem Open-Source-Bereich stammen und auf sehr spezielle Testbereiche zugeschnitten sind.

Die Werkzeuge, die für Penetrationstests herangezogen werden, lassen sich in folgende Kategorien einteilen:

  • Viele Werkzeuge überprüfen nur eine einzelne Schwachstelle.
  • Vulnerability Scanner überprüfen oft automatisiert eine Reihe von applikations- oder protokollbasierten Schwachstellen. Einige lassen sich durch eigene Skriptsprachen erweitern.
  • Einige Programme dienen ursprünglich oder zusätzlich zu ihrer Funktion in Penetrationstests auch dem allgemeinen Netzwerkmanagement, darunter z. B. einige Scanner und Sniffer.
  • Auch normale Programme, die beim Betriebssystem mitgeliefert werden, können einem Penetrationstester bei einer Untersuchung dienen.

Unser Angebot  umfassendes ein, unabhängiges Testangebot zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, sowie von Hard- und Software-Produkten oder aber auch Web-basierten Diensten und Cloud-Angeboten. Neben herkömmlichen Schwachstellenanalysen bieten wir auch Interoperabilitätstest an.

Die Schwachstellenanalyse ist jedoch kein zwingender Teil eines Penetrationstest, oder der Sicherheitsanalyse und darf als selbstständiges Angebot wahrgenommen werden.

  • Vulnerability Assessment: Wenn wir die Schwachstellen in Ihren Systemen und Netzwerken lokalisieren, quantifizieren und priorisieren wir zwischen („kritisch“ und „wahrscheinlich“). Der Sinn hinter Vulnerability Assessment besteht darin, tief eingebettete Schwachstellen in Ihren Systemen, Netzwerken, Infrastrukturen und Prozessen zu entdecken.

Beispiele einer Schachstellenanalyse

  • Vulnerability Scan (Automatisiert und manuell)
  • Sicherheitsüberprüfung von IT Systemen
  • Risikoanalyse
  • Nur passive Angriffe

Kompetenzen rund um die Schwachstellenanayse

 

  • Schwachstellenanalysen von Produkten und Lösungen
  • Technische Pre-Auditierung
  • Seitenkanalanalysen und Fehlerangriffe auf eingebettete Systeme
  • Embedded Systems Security Evaluation (Grey-, Black-, Whitebox)
  • Tamper Resistent Design Strategien
  • Entwicklung und Weiterentwicklung von Gegenmaßnahmen bei Cyberangriffen
  • Penetrationstests
  • System- und Anwendungsanalysen
  • Entwicklung von Testszenarien
  • Prüfung und Absicherung von Cloud-Services, Web-Servern etc.

Red Team Penetrationstesting, präsentiert  Ihnen ein komplett unabhängiges Bild Ihrer IT-Sicherheit. dA der Penetrationstest stets eine Momentaufnahme des aktuellen ist Zustandes der IT-Sicherheit aufzeigt, trägt der Red Team Penetrationstest dazu bei, das eine haargenaue Messung Ihrer tatsächlichen Sicherheit möglich ist.

Im Gegensatz zu einem normalen Peneitrationstest, wird bei einem Red Team Pentest, ein Schwarm von Hackern auf Ihre IT-Infrastruktur losgelassen. Da eine Vielzahl von Angreifern Ihre IT-Infrastruktur auf einmal attackieren, kann mit einer bestimmten Genauigkeit gesagt werden, das Ihre IT-Infrastruktur einem realen Cyberangriff standhalten kann, oder eben nicht.

Ein rotes Team oder das rote Team ist eine unabhängige Gruppe, die eine Organisation dazu auffordert, ihre Effektive Sicherheit zu verbessern, indem sie eine gegnerische Rolle oder einen gegnerischen Standpunkt einnimmt. Der Red Team Penetrationstest ist effektiv in Organisationen mit gewachsenen Kulturen und festgefahrenen Strukturen. Auf Wikipedia erfahren Sie weitere Details zu Red Teaming.

Mit dem Penetrationstest testen wir jedes IT-System unabhängig von der Größe oder Sicherheitsstufe.

Auf jeder Anlage, auf jeder Maschine oder auf einem Roboter, ganz gleich wie Intelligent er ist agiert eine Software. Wird die Software einer Anlage oder einer Roboter Maschine gehackt, kann es leicht zum Cyberangriff kommen.

Mit unserem Penetrationstest für Anlagen und Maschinen, agieren wir wie ein Angreifer, der versucht in Roboter / Robotik einzubrechen. Wir gehen genauso vor, wie Sie es von einem Angreifer erwarten würden, jedoch verursachen wir dabei keine bewussten Schäden, sondern Dokumentieren Sicherheitslücken und Schwachstellen in der entsprechenden Industrieanlage, und schließen diese gemeinsam mit dem jeweiligen Hersteller oder Auftraggeber.

Näheres zum Thema Industrierobotik, erfahren Sie von Adrian Janotta in Österreich zum Thema Penetrationstest in der Robitik>

Penetrationstests für Anwendungen und Webanwendungen sind wichtig, Cyberangriffe passieren oftmals über die Anwendungsebene, da diese einer der am häufigsten verwundbaren Stellen in einem Computersystem darstellt. Wir testen jede Anwendung und Webanwendung auf Ihre Sicherheit hin. Dabei simulieren wir Cyberangriffe auf Websites, Webanwendungen, Anwendungen, Software und sonstige Digitale-Systeme, um Schwachstellen in Anwendungen zu identifizieren.

Erfahren Sie mehr zu Pentest für Websites>

Beim Testen von IT-Systemen für Automotive Systems, konzentrieren wir uns auf die Systemsicherheit im Fahrzeug. Erfahren Sie mehr darüber in der aktuellen Ausgabe der Automobilwoche>

Penetrationstests für komplette Organisationen mit vielen Endpunkten, Netzwerken und Mitarbeitern sind für uns kein Problem.

Wir sicher ist Ihre Telekommunikation? Telekommunikationssysteme, sende Anlagen, Voip Systeme und Kommunikationstechnologie, sind für den Penetrationstest hervorragend geeignet. Sicherheitslücken sind ein Thema, das jedes Technologie Unternehmen betrifft. Wir unterstützen Sie gerne.

  • Penetrationstest von Telekommunikation
  • Penetrationstest von Voip Systemen
  • Penetrationstest von E-Mail Systemen
  • Penetrationstest und Mobile Test für mobile Kommunikation
  • Penetrationstest für kryptographisch gesicherte Systeme

Wie sicher ist Ihre Kryptographie oder Ihre Verschlüsselung? Haben Spionage und Lauscher eine Chance? Wir klären diese Frage mit unserem Kryptographie Penetration-Tests und geben Ihnen die richtigen Antwort auf Ihre Fragen in Bezug der Integration von Kryptographie in Kommunikation, Webanwendungen, Anwendungen, Software und Informationstechnologie, Robotik und Informationssysteme.

Regelmäßige IT-Sicherheitsaudits, erhöhen die IT-Sicherheit von Software. Sicherheitsaudits dienen der Planung, Dokumentierung und ständigen Weiterentwicklung des Informationssicherheitsmanagementsystems eines Unternehmens. Die Audits werden  von externen Experten – meist von unseren Chief Audit Executives (CAE) durchgeführt – Der dabei erstellte Maßnahmenkatalog bildet die Grundlage für weitere Schritte durch die Administratoren der hausinternen IT-Abteilung. Sie sind für den laufenden Abgleich von Soll und Ist und die Wartung des Systems in Übereinstimmung mit der Security Policy des Unternehmens zuständig. Systeme können dabei Personal Computer, Server, Großrechner (Mainframes), Router oder Switches umfassen. Anwendungen können beispielsweise Webserver wie Apache, Datenbank-Systeme wie Oracle oder MySQL und Mailserver umfassen. Auch selbst Programmierte Software und Anwendungen werden mit dem Sicherheitsaudit überprüft. Beispiele sind sicherlich ein E-Mail Programm oder eine Software die vertrieben wird.

Nach einer Bestandsaufnahme, der IT-Strukturanalyse, finden die Tests statt. Auf Basis dieser Tests, folgt in der Regel die Bewertung des Schutzbedarfs.

Manuelle Maßnahmen einer Sicherheitsanalyse umfassen dabei:

  • die Befragung der Belegschaft eines Unternehmens (siehe Social Engineering)
  • Security Scans mittels Portscannern wie Nmap, Sniffern wie Wireshark, Vulnerability Scannern.
  • die Überprüfung der Zugangskontrolle bei Anwendungen und Betriebssystemen
  • die Analyse des physikalischen Zugangs zum System.
  • Software Analyse

Der Physische Penetrationstest, bestimmt die Sicherheit Ihrer physischen Infrastruktur. Dazu gehören der Zugang zu Büro räumen, die Gesamtsicherheit ihrer Organisationen, dem Versuch eines Physischen Einbruchsversuches in ein Gebäude, in ein Haus oder in eine Firmenzentrale, mit dem versuch des Umgehens von Iris, Fingerabdruch Scanner und Sicherheitstechnischen Schranken wie Kameras oder Laser Schranken.

Dank Drohnen Technologie, führen wir gezielte Angriffe auf der Luft durch, und versuchen mit Drohnen Tests, an Informationen, ob Visuell, oder über Datenträger zu gelangen. Dank unseres Equipment, sind wir in der Lage W-Lan Netzwerke aus großen Entfernung mit Drohnen Technologie zu testen, W-Lan Netzwerke zu stören, und auf die Sicherheit hin zu prüfen.

Eine wichtige Voraussetzung für den W-Lan Penetrationstest, ist die richtige Hardware. Monitor-Modus“ und „Packet Injection“und ein Referenzclient sind zu beachten um Voraussetzungen zu erfüllen. Bei einem W-Lan Test wird in Vier Phasen unterteilt.

Heute befinden sich in allen Geräte W-Lan Netze. Ob kleine IP-Kamera, Notebook, Computer, Router oder IOT-Gerät. Daher sind W-Lan Tests sinnvoll, um die Sicherheit von Netzwerken zu gewährleisten.

1. Die Reconnaissance-Phase

Die Reconnaissance-Phase wird bei einem WLAN-Test dann durchgeführt, wenn nicht klar ist, welche WLANs tatsächlich vorhanden sind. Mit „Rogue Access Point“ wird extern geprüft, ob ein entsprechendes W-Lan tatsächlich Ihnen gehört. Ein Tool, das in diesem Zusammenhang Verwendung findet, ist aircrack-ng. Es ist jedoch auch möglich, dass diese Phase vom Auftraggeber durchgeführt wird, da viele Access Points eine Funktion zur Erkennung anderer Access Points bereitstellen.

2. Die Mapping-Phase  

In der Mapping-Phase wird die in der Reconnaissance-Phase Phase ausgewählten WLAN-Netze  abgefragt, welchen Benutzern diese zur Verfügung stehen. Manchmal sagt bereits der WLAN-Name (auch SSID) viel aus, zum Beispiel bei „gaeste-netz“ oder „mitarbeiter-netz“. Diese Informationen liefern einen wertvollen Beitrag, um später die Konfiguration prüfen zu können. Zudem ist es wichtig, vom Auftraggeber Informationen darüber zu erhalten, welche Rechner in welchen Netzen erreichbar sind. Auf dieser Grundlage lässt sich prüfen, ob die entsprechenden Netze sauber voneinander getrennt sind.

3. Die Discovery-Phase  

In der WLanDiscovery-Phase  Phase werden die Konfigurationen geprüft und Angriffe durchgeführt. Haben offene WLANs Captive Portals (Anmeldemasken mit Bestätigung der AGBs) im Einsatz? falls ja, sind diese per HTTPS korrekt verschlüsselt?  Selbstverständlich wird auch getestet, ob vorhandene Captive Portals umgangen werden können, beispielsweise mithilfe abgeänderter MAC-Adressen. Zudem wird hier geprüft, ob aus dem Gästenetz auf Rechner im internen Netzwerk zugegriffen werden kann, entweder direkt oder durch entsprechende Manipulationen.

Unsere W-Lan Prüfung, analysiert zudem, ob Ihr W-Lan mit den aktuellen sicheren Konfigurationen ausgestattet ist. Manchmal kommt es vor, das WiFi- Funknetze nicht richtig eingestellt sind. Diese Konfiguration ist drahtlos verfügbar und kann mit dem Tool airodump-ng eingesehen werden. Auch lässt sich prüfen, ob die im Sommer 2017 publizierte WPA2-Schwachstelle  “KRACK” aufgrund fehlender Aktualisierungen noch vorhanden ist.

Mit unserem Machine Learning Penetration Testing (Pentest), bietet Janotta Consutling die Möglichkeit, als einer der Führenden Deutschgen Penetrationstester den Machine Learning Penetrationstest an. Unsere intelligente Machine Learning Penetration Testing Software, simuliert auf Wunsch Angriffe von hunderten Angreifern und Penetrationstester, um so ein noch realeres Bild von Ihrer Sicherheitssituation zu erhalten.

Unser Penetrationstool mit Deep Learning Algorithmus, lernt vollständig autonom und erkennt Sicherheitslücken in nur der halben Zeit, wie Sie es von einem Menschlichen Penetration Tester erwarten würden. Deep Learning verbessert die Klassifikationsgenauigkeit proportional zur Menge der Lerndaten.
Mit unserem Machine Learning Penetration Test,  sind wir in der Lage Schwachstellen und Sicherheitslücken genauer zu  identifizieren. Dazu zählen unter anderem Bugs und Fehler aus Information Gathering, oder Fehler auf Webserver installierte Software (Betriebssystem, Middleware, Framework, CMS, usw.) Gültige Exploits für die identifizierte Software, werden so noch schneller erkannt.

Den Penetrationstest verstehen

Methoden und Technik beim Penetrationstest

Sie haben den richtigen Penetration-Test Partner gefunden. Janotta Partner Security Consulting, ist Ihr Penetrationstester für Informationstechnik. Informieren Sie sich auch mit unserem Fachartikel zum Thema Pentests.

  • Einsatz von Sozial Engineering
  • Testing von Netzwerken intern und extern
  • Physikalische Penetrationstests
  • Wireless Penetrationstests
  • VoIP und Telecommunication Penetrationstests
  • SCADA Tests
  • Anwendungen ( Black Box White Box Gray Box)

 

Laden Sie sich den Vortrag der Hochschule der Deutschen Telekom: Penetrationstest, in IT-Systeme einbrechen jetzt herunter.

Schwachstellen in Software und IT Systemen im Jahr 2017

  • Schwachstellen
  • Sicherheitslücken und Exploits

Informieren Sie sich noch heute in einem kostenfreien und unverbindlichen Erstgespräch am Telefon oder per Email. Wir freuen uns auf Ihren Kontakt zum Thema Penetrationstests!

Diese Präsentation zum Thema Penetrationstest, wurde für die Deutsche Telekom erstellt.

Möchten Sie einen Pentest beauftragen?

Wir dürfen wir Ihnen heute helfen?

Wir freuen uns auf Ihre Anfrage: Schrieben Sie uns oder rufen Sie uns direkt an.

Haben Sie weitere Fragen? Zögern Sie nicht Kontakt mit uns aufzunehmen. Mein Team und ich, freuen uns auf Sie.

Adrian Janotta
, info@janotta-partner.de

Haben Sie weitere Fragen zum Thema Penetrationstest?