Automatisierung von Penetrationstests

Ali Piran

Kurzfassung

Vernetzung spielt in der heutigen Zeit eine immer größer werdende Rolle. So haben bereits Kühlschränke eine Anbindung an das Internet und können ihrem Besitzer über das Internet mitteilen, wenn bestimmte Nahrungsmittel knapp werden. Sprachassistenten wie Alexa sind mit dem Benutzerkonto eines Onlineshops verbunden und können auf Befehl Gegenstände bestellen. Die Abrechnung erfolgt dann meistens über die verknüpfte Kreditkarte des Benutzers. Mit dieser zunehmend wachsenden Vernetzung steigt auch das Risiko, Ziel eines Angriffs zu werden. In der Theorie könnte also jedes Gerät mit einer Verbindung zum Internet auch Opfer eines Angriffs werden. So können Hacker z. B. über verschiedene Smart Home Geräte an die Kreditkartendaten der Benutzer gelangen und diese missbrauchen. Solche Risiken werden nicht selten durch mangelnde Qualitätssicherung verursacht, sodass immer wieder Fälle bekannt werden, bei denen vermeidbare Sicherheitslücken für große Schäden sorgen.

Eine Möglichkeit solche Lücken zu finden und auszunutzen sind Penetrationstests. Dabei wird meistens durch gezieltes Suchen und Ausnutzen von Schwachstellen versucht, Sicherheitslücken zu schließen und somit Sicherheitsstandards zu verbessern. Im Hinblick darauf konzentriert sich diese Bachelorarbeit auf die Automatisierung solcher Penetrationstests.

Schlagwörter: Schwachstelle, Penetrationstest, Automatisierung, Hacker, Angriff, Sicherheit, IT

Abstract

Networking plays an increasingly important role nowadays. Refrigerators start having connectivity to the internet and are able to tell their owners that nutriments are narrowing. Speech assistants like Alexa are connected to its owner’s online-shop-account and can order different things when the owner tells it to do so. The billing usually happens via credit card. Because of this growing connectivity the risk of being a target of an attack increases. Hypothetically, every device connected to the internet could be a victim of an attack. Hackers could for example steal users’ credit card information by exploiting different smart home devices.

Those risks are not rarely caused by a lack of quality-assurance so that cases of avoidable vulnerabilities in systems emerge, causing big financial damages. One possibility to find such risks and to exploit them is penetration testing. These are mainly used to search and exploit weak points, in order to fix the vulnerabilities and to raise the security-level. This thesis concentrates on the automation of penetration testing.

Keywords: Exploit, Penetration-Test, Automation, Hacker, Attack, Security, IT

x