Zugegeben, die Artikelüberschrift ist Clickbait, denn natürlich soll es hier nicht um den Test von Stiften gehen, sondern um die Durchführung sogenannter Penetration Tests – kurz „Pen Tests“ – mit dem Ziel, die Sicherheit unserer Software zu prüfen und auch zu verbessern. Da man bei andauernder Beschäftigung mit bekannten Themen dazu neigt, den Wald vor Bäumen nicht mehr zu sehen, hat sich forcont schon vor einiger Zeit darum bemüht, einen fachkundigen Partner für die Durchführung von Penetration Tests zu finden.
Als Partner fungiert für forcont nunmehr seit mehr als zwei Jahren die Dortmunder Firma IFASEC GmbH. Was das Firmenprofil der IFASEC betrifft, sei an dieser Stelle lediglich kurz auf den „Über uns“-Abschnitt deren Website verwiesen.
Stellt sich nun natürlich die Frage: Wie und was wird getestet?
Um unsere Software unter möglichst realistischen Bedingungen zu testen, erhalten die Tester einen Zugang zur Anwendung in unserem Software-as-a-Service-Angebot. Dieser ist so konfiguriert, dass er den Maßgaben entspricht, denen wir auch bei der Erstellung eines realen Kundenzugangs folgen. Neben den Tests, die innerhalb der Anwendung erfolgen, werden natürlich auch Tests durchgeführt, welche die „äußere Schale“ der Anwendung abklopfen. Hier stehen dann solche Fragen im Vordergrund, wie:
- Welche Informationen lassen sich über die Konfiguration des Web Servers herausfinden?,
- Welche HTTP-Methoden, SSL-Protokolle und –Versionen werden vom Web Server unterstützt? oder auch
- Gibt es Hinweise auf spezifische Verwundbarkeiten, die auf einen ungenügenden Patch-Stand des Servers hinweisen?
Im Zuge automatisierter Tests kommen dabei zunächst, über mehrere Tage verteilt, verschiedene kommerzielle Tools zum Einsatz. Ergänzende Tests erfolgen dann auch manuell, wobei u. a. auch Software aus dem Open Source-Umfeld genutzt wird, wie z. B. die in der Kali Linux Distribution enthaltene Tool-Sammlung. Der Umfang der Tests orientiert sich dabei an der im „OWASP Top Ten Project“ erarbeiteten Liste, welche die aktuellen Top-10-Sicherheitsrisiken für Web-Anwendungen beschreibt.
Nach Abschluss der Tests erhält forcont einen detaillierten Bericht, der sowohl die gefundenen Probleme beschreibt als auch Hinweise darauf gibt, wie diese zu beheben sind. Wurden die gefundenen Probleme von uns beseitigt, erfolgt ein Nachtest, der die Wirksamkeit der entwickelten Patches prüft. Verläuft der Nachtest im Sinne von „Problem behoben“ erfolgreich, erteilt IFASEC für die getestete Anwendung ein Zertifikat, welches u. a. auch auf der forcont-Website eingesehen werden kann.
>> Aktuelles Zertifikat ansehen
Bleibt die Frage: Kann man sich hinter einem Zertifikat verstecken? Sicherlich nicht, denn die Bedrohungsszenarien ändern sich in rasanter Geschwindigkeit und die eingesetzten Angriffstechniken werden immer ausgefeilter. Vor diesem Hintergrund wird forcont ihre Anwendungsprodukte auch weiterhin regelmäßig auf Schwachstellen prüfen lassen und daran arbeiten, sie so sicher wie möglich zu machen. Kurz gesagt, wir werden auch weiterhin „Stifte testen“. 🙂
