 Einen wunderschönen guten Morgen, um 10.00 Uhr nach 12.00 Uhr. Ich habe wieder den ersten Talk bekommen, ich bin total happy, überhaupt nicht. Wer von euch hat gerne als Kind Räuber und Schandarm gespielt? Meinen Duo. Wer war lieber Räuber? Ja, die meisten, ja. Darum geht es heute. Wir wollen uns mal ein bisschen anschauen, was macht man bei physischen Penetrationstests? Und ich habe eine kleine Einführung mitbekommen, er mitgebracht. Und wir schauen uns einfach mal so an, was man machen kann. Eine relativ aktuelle Meldung aus den USA. Man arrested for breaking into Dallas Country Courthouse. Da hat mich der Kollege darauf hingewiesen, das war jetzt irgendwie am 11.09. Da wurden zwei Pentester verhaftet. Die sollten dann nämlich in das Gerichtsgebäude einbrechen, hat einen Auftrag davon. Und dann kam die Polizei und dann wurden sie verhaftet. Und dann stellte sich heraus, die hatten eigentlich gar keine Auftrag dazu. Die hatten zwar von irgendjemand einem Auftrag erhalten, aber eben nicht von denen, die es durften. Okay, also wir wissen da, es gibt so einiges zu beachten und auch das, auf das wollen wir eingehen. Kurz noch zu meiner Person, ich bin jetzt 42 plus 1. Ich komme aus Heige, ich sage keinem was, ich bin Mittelhessen. Ich bin Sicherheitsberater und ziehe so bei einigen Unternehmen. Und wenn ich darf, mache ich ein bisschen Penetesting und Red Teaming. Wenn man irgendetwas mit mir kommunizieren möchte, am besten über Twitter, da bin ich ganz gut erreichbar. Erst mal schauen wir uns an, wo es geht. Dann gucken wir uns an, ganz klassisch, was machen wir, wenn wir so einen physischen Pen-Test beauftragen wollen. Was müssen wir vor der Auftragserteilung beachten? Wie wollen wir uns vorbereiten? Was machen wir bei der Durchführung? Nacharbeiten müssen wir auch machen. Aber du sind da und habe ich auch noch zusammengeschrieben, die man tunlichst lassen sollte. Wer von euch macht den Test, testet es durch? Nicht so viele, okay. Das ist mittlerweile relativ verbreitet. Penetrationstests, Schwachstellenscans, Schwachstellenanalysen, ist auch in so ein Mittelstand angekommen. Macht jeder mittlerweile so einmal im Jahr in der Regel. Man wird aber ganz gerne vergessen, dass nicht nur der Hacker von außen oder von innen gefahren ist, sondern dass man auch klassische Gebäude hat, dass man Gelände hat, wo man ja auch einbrechen kann. Da wird dann gerne gesagt, es macht das Facility-Management. Die kümmern sich um Schranken, um Perimeter-Schutz usw. Aber es kommt keiner auf die Idee, das mal zu testen. Und genau das machen wir bei physischen Pen-Tests. Können wir von außen in Unternehmen eindringen vor Ort? Können wir irgendwelche Zäune überwinden? Können wir in das Gebäude rein? Mit dem Ziel letztendlich, was schaffen wir, wenn wir dann reingekommen sind? Ganz wichtig dabei ist, in der Regel komme ich irgendwo rein, ohne etwas kaputt zu machen. Weil wenn wir irgendwo ein Schloss kaputt machen oder eine Kette durchknipsen oder was auch immer, das wäre relativ einfach. Das wollen wir natürlich nicht. Wir wollen keine Schäden vor Ort Sachen. Trotzdem muss man sich immer wieder die Frage stellen, wo käme ich denn rein, wenn ich etwas kaputt machen würde? Weil auch da sieht man immer die witzigsten Sachen, das sind irgendwelche Türen, die noch nicht mal so ein Fußtritt standhalten, dann dazu dienen, Serverraum abzusichern. Also das machen wir natürlich nicht. Aber dann sagt man, okay, was werde denn, wenn ich da jetzt gegentreten würde? Ja, dann würde die aufgehen. Macht da nicht so viel. Wenn wir denn drin sind, dann schauen wir, wo kommen wir denn hin überall? Kommen wir irgendwie in bestimmte Bereiche, wo so Forschung und Entwicklung ist zum Beispiel? Oder wo datenschutzrelevante Dinge sind, Personalabteilungen? Können wir da einfach rein latschen? Was machen die denn dann, wenn man da so rein kommt? Und wenn wir da sind, was können wir von dort erreichen? Kommen wir in den Netzwerk rein, können wir uns irgendwo mit verbinden? Und dann haben wir dann klassische Pen-Testszenarien, wenn ich schon mal drin bin, was kann ich denn dann im Netzwerk machen? Das ist so das, was wir uns immer fragen. Und vorher muss man bei einem normalen Penetrationstest letztendlich auch schauen, dass man erstmal die Rahmenbedingungen festlegt. Also man unterhält sich mit den Leuten und sagt, was wollt ihr denn überhaupt erreichen? Mit welchen Techniken wollen wir denn vorgehen? Dürfen wir zum Beispiel Social Engineering einsetzen? Dürfen wir uns verkleiden? Oder sollen wir einfach nur irgendwie versuchen, von außen mit der Dampferma durchzulaufen? Gibt's auch, wie weit kommen wir? Da werden wir irgendwo gestoppt. Die Zieldefinition und der Scope, also wo wollen wir uns bewegen? Welchen Bereich wollen wir uns bewegen, ist da super wichtig? Weil so out of scope kommen bei einem physischen Pen-Test ist ziemlich übel. Dann habe ich nämlich auf einmal irgendwelche Gebäude oder Systeme vor mir, die gar nicht zu meinem Auftraggeber gehören. Und wenn ich die dann kaputt mache, dann habe ich halt doppelt gelost. Wir hatten jetzt den Fall, da waren wir in der Brücke drin und haben da so Netzwerkschränke gefunden. Wir haben dann aufgemacht, dann haben wir dann reingeguckt und haben festgestellt, oh, da steht ja was von Telekom. Das war halt eine LTE-Basisstation mit Hauerweischränken, die verschlossen waren. Im Nachbarschrank, der war offen, da lag das Schlüssel für die Hauerweischränke drin. Da krippelt es einen schon so ein bisschen, aber das gehört halt nicht zum Auftrag. Der stande halt zufälligerweise rum und da haben wir dann ein Foto gemacht, so ein bisschen in der Randnotiz dann einfach mal bemerkt und dann durften wir da leider nicht machen. Also Scope, ein ganz wichtiges Thema. Ausnahmen, mission critical Sachen. Irgendwie, wenn ihr reinkommt und Netzwerkzugriff bekommt, was sollte man denn vielleicht nicht angreifen? Es gibt immer solche kritischen Bereiche. Bei einem Auftraggeber, da haben wir so eine Eisenbahnlinie und das Netz ist besonders geschützt. Das ist von besonderen Gesetzen geschützt. Es bedeutet besonders geschützt. Das sind auch extrem veraltete Systeme immer drin, so Windows 2000 und XP war so das Aktuelle, was wir da sehen. Und wenn wir die anpingen, dann fallen die um. Und dann kann es schon mal sein, dass so ein Abrollhügel auf einmal nicht mehr funktioniert. Oder wenn man dann den falschen Knopf drückt, drückt das dann einfach die Schranken runtergehen. Das passiert tatsächlich. Das ist ein ganz normaler Vierkantschlüssel. Wenn ich dann versuche, dann, weil ich die Tür öffnen will und drehe das Ding rum und dann merke ich, oh, das ist ja gar keine Tür, sondern das war jetzt die Schrankmannlage, die ich da bedient habe. Also da muss man darüber reden, welche Ausnahmen gibt es und dann natürlich das übel Datenschutzbeauftragte, Betriebsrat. Die sollte man auf jeden Fall mit einbinden. Weil insbesondere, wenn wir so Social Engineering und so weiter einsetzen, dann kommt es schon mal vor, dass wir Personen, Mitarbeiter diskreditieren können. Wir versuchen die ja zu überlisten. Wir versuchen denn ja, irgendwas vorzuspielen und das kommt meistens nicht so gut an. Und deswegen muss man das vorher erklären, dass da mindestens Datenschutz und Betriebsrat Bescheid weiß und letztendlich dann auch das Ganze im Nachgang kommunizieren kann. So wenig Mitwissen, die wie möglich, macht absolut Sinn. Auch wieder aus der Praxis. Da war ein Vorstand mit vier Vorstandsvorsitzenden. Einer hatte uns beauftragt, die anderen drei wussten es nicht. Und dann haben wir losgelegt und irgendwann hat sich dann rausgestellt, dass über irgendwelche Wege dann die Information dann doch irgendwie bis zum Admin vor Ort gekommen ist, dass wir da gerade was tun. Weil einfach einer angefangen hat zu reden und er hat dann seinen Kollegen Bescheid gegeben und das verbreitet sich dann wie ein Lauffeuer. Und dann ist natürlich so ein Test eigentlich absolut. Also wenn man schon genau weiß, der guckt allen an und weiß schon ganz genau, du bist jetzt der Pentester, dann brauch ich nicht mehr weitermachen. Ja, Kontakttaten austauschen, das ist insbesondere wichtig, wenn wir irgendwo nachts unterwegs sind. Das heißt, wenn wir außerhalb der Geschäftszeit versuchen irgendwo reinzukommen und dann kommt irgendwie ein Sicherheitsmann und wach man vorbei und sagt, stopp, ich hole jetzt die Polizei, dann sollte man halt in dem Falle zügig sein Auftraggeber anrufen, nachts um drei, den aus dem Bett klingeln und sagen, hier sprechen Sie mit dem, das ist ein geplanter Test, weil sonst kann es wirklich vorkommen, dass dann die Polizei kommt und dann steht man da und guckt doof. Und erklären Sie den mal, dass man letztendlich dafür beauftragt wurde. Das hatten wir ja eben mit diesem Gerichtsgebäuden. Uns ist es noch nicht passiert, aber wer weiß. So ganz unwahrscheinlich ist das gar nicht. Für uns als Tester ist natürlich das Haftungsthema ganz wichtig. Wir könnten theoretisch was kaputt machen, unabsichtlich, also auf der Hardware-Ebene irgendwelche Türen kaputt machen. Wenn man damit so einem Lockpicking, so einem automatischen Lockpicking-Werkzeug zum Beispiel vorgeht, die machen dann die Schlösser auch schon mal kaputt. Oder wenn man ein Netzwerk ist und pingt dann eben diesen Eisenbahrechner an fährt dann irgendwie ein Zug vor die Wand, dann ist das doof, das sollte man vorher ausschließen. Entsprechend über Verträge über die AGB und eine Versicherung braucht man eh, also die meisten größeren, die beauftragen einen gar nicht mehr, wenn man keine Versicherung hat. Da hat man so 3 Millionen, die man dann letztendlich von der Versicherung bezahlt bekommt, wenn irgendwas passiert. Damit muss man auf jeden Fall achten. Die Ziel- und Leistungsbeschreibung ist auch wieder wie bei jedem anderen Projekt, ich muss genau definieren, wie gehe ich vor, was mache ich, welchen Umfang und das lasse ich mir dann bitte vom Topmanagement unterschreiben. Also nicht vom IT-Leiter oder von irgendwem, also in der Regel vom Topmanagement. Weil sonst passiert nämlich genau das, das nämlich irgendeiner einen Beauftrag und der hatte intern gar nicht die Berechtigung dazu. Das ist zwar eigentlich nicht mein Problem, weil er spricht in dem Moment für das Unternehmen, aber das zu argumentieren ist rechtfertigend, da haben wir alle gar keinen Bock drauf. Hinweise geben, potentielle Störungen und so weiter und vor allen Dingen bestätigen lassen, wir haben ein Notfallvorsorgekonzept und es kann nichts passieren, was uns wirklich jetzt existenzbedrohend gefährdet. Das haben die wenigsten. Also ich glaube so 3 Viertel haben gar kein Notfallkonzept für diese Dinge, aber sie unterschreiben es. Das reicht mir aus, letztendlich, auch wieder um das Thema Haftung. Okay, durch diese ganzen theoretischen Geschichten gehen wir relativ schnell durch. Wie fangen wir an bei einer Vorbereitung? Als Allererstes machen wir so ein bisschen Recon, Aufklärung, entweder Remote oder vor Ort. Wir gucken uns an, was wollen wir denn da überhaupt angreifen? Wo wollen wir denn reinkommen? Wenn wir das getan haben, dann entwickelt sich im Kopf schon so ein bisschen eine Geschichte. Als was könnte ich denn jetzt vorgehen? Verkleiden wir uns, wie gehen wir rein? Da sind wir, gehen wir als Handwerker rein? Da kommen wir gleich noch zu, also eine Story entwickeln. Was tue ich, wenn ich jetzt den Auftrag durchführe? Was versuche ich, wo setze ich an und so weiter? Das kann ich erst nach dem Recon machen, vorher weiß ich meistens nicht, wie es da aussieht. Ausstattung zusammenstellen? Klar, ich brauche Werkzeug, ich brauche Verkleidungen und so weiter. Gefälschte Identitäten vorbereiten? Das ist immer so eine schöne Geschichte. Das sehen wir gleich auch noch. Wenn man die hat, dann wird man so irgendwie übersehen. Also mit einem automatisch Mitarbeiterausweis, den kann man sich auch selbst drucken, dann ist man eigentlich Luft für die Leute. Weil, der gehört hierhin, alles ist gut. Also sowas bereite ich letztendlich alles vor. Und das Allerwichtigste ist, dass Legitimationsschreiben wo drin steht. Ich, das Topmanagement dieses Unternehmens, habe diese Personen hier oder diese Personen beauftragt, hier einen physischen Pen-Test durchzuführen, im Zweifel rufen sie mich an. Weil, wenn man erwischt wird, dann sollte man das zeigen können. Und wenn man dann im Scope das hat, dann hat man auch ein gefälschtes Legitimationsschreiben dabei. Das zeigt man dann als Erstes. Wo man dann einfach einen Briefkopf gefälscht hat, einfach den gleichen Text hin, eigen selbst unterschrieben hat. Und dann guckt man, ob man damit durchkommt. Und wenn man damit nicht durchkommt, dann kann man immer noch das Richtige zeigen. Auch da wieder, man versucht natürlich, auch wenn man erwischt wird, das Meiste noch rauszuholen. Und Ausstattung, das ist ein bisschen lächerlich. Aber ja, wir brauchen tatsächlich Koffer. Oder wir brauchen Taschen. Zu den Taschen kommen wir nachher noch, wir brauchen so Werkzeug. Ganz normale Sachen, Panzer Tape, so ein Multifunktionstool ist immer top. Man muss nicht immer direkt hier so einen kompletten Werkzeugkasten dabei haben. Wobei genau dieses Teil ist genau das, was man ganz oft braucht. Weil an vielen Stellen kommt man einfach durch das Lösen von solchen Spezialbits oder Spezialschrauben. Kommt man sehr, sehr einfach schon rein. Deswegen so ein Teil immer dabei haben, kostet irgendwie 20 Euro, so kein Problem. Wir wollen ja irgendwas mit Netzwerk und was mit Computern machen. Das heißt, man sollte auch sein Computer dabei haben, sein Notebook. Und hinten, das ist mein Penthouse Notebook, das ist irgendwie so ein Tee, Tee, irgendwas. Das will ich natürlich nicht mitschleppen. Weil wir überlegen, wir rennen dadurch die Gegend und versuchen über Mauern zu klettern und durch Türen und Tore zu brechen. Das wollte ich nicht ein 2-Kilo-Notebook dabei haben. Das heißt, zu dem Zweck holt man sich dann irgendwie so ein kleines Ding. Ich habe hier von GBD so ein Teil. Super. Hat irgendwie HD-Auflösung, wiegt irgendwie 500 Gramm. Macht genau das, was es soll. So kleine Switches sind immer ganz cool. Die braucht man auch, wenn man unerwartet zufälligerweise mal Netzwerkport findet. Oder man holt sich eben so eine Vollausstattung. Also LWL-Strecken, wenn die irgendwo quer durch die Gegend gespannt sind oder zu Zugangspunkte sind, dann braucht man halt so Medienwandler. Ich muss ja gucken, wenn ich irgendwo Netzwerk finde, muss ich da ja auch dran kommen. Und nicht überall liegt Kupfer, sondern da liegt halt ganz oft 100.000 Glas rum mit verschiedensten Technologien, Long Range, Short Range und so weiter. Und da brauche ich halt für jedes ein Medienwandler, wenn ich weiß, dass ich darüber dann reinkommen möchte. Bei meinem Recon, wenn ich den Remote starte, wenn ich weiß, dass das ein rassisches O sind. Ich gucke mir erstmal an im Internet, was finde ich denn über meinen Auftraggeber raus? Social Media, da kann ich mir mal so ein paar Namen raussuchen und ein paar Gesichter mir anschauen, damit ich weiß, wen sehe ich denn da gegebenenfalls. Kann die Leute dann eventuell auch ansprechen oder kann mich auf die beziehen? Wenn man dann eine Story entwickelt hat, dass man als Handwerker unterwegs sind und dann kommt einer entgegen und fragt, wer hat sie dann beauftragt. Das funktioniert ganz gut. Die fühlen sich dann direkt wieder aufgehoben. Da weiß Bescheid, das kann auch gut sein. Der macht ja Facility Management und dann passt das schon wieder. XYNG ist AI ganz cool, weil über XYNG kriege ich ja alles raus, was ich wissen will, über so ein Unternehmen. Ich gucke mir einfach die Profile der Admins an und da weiß ich, da steht, ich biete, softwares Firewall, da weiß ich genau, das Unternehmen hat softwares Firewall. Damit kriege ich einiges auch für den Zug auf physische Pentests raus. Zum Beispiel wenn irgendwelche Zutrittskontrollsysteme da drin stehen oder irgendwelche Zeit-Erfassungsterminals haben die teilweise da drin stehen. Ich bin für Zeus Bla-Bla-Zertifizier. Da weiß ich genau, Zutrittssystem ist von Zeus. Das mache ich alles über XYNG. Schodan kennt man interne IP-Adressen rausfinden. Ich gucke mir immer so die Mail-Header an. Wenn man so eine Mail an ein Unternehmen schickt und es kommt eine Antwort zurück, dann bewerbt mich dann immer auf irgendeine Stelle und dann kommt von der Personalabteilung immer eine schöne Mail zurück. Dann gucke ich in den Header rein und da weiß ich ganz genau, ah, die IP-Adresse vom Whatever-Exchange-Server ist so und so und die interne Domäne ist so und so. Das hilft mir, wenn ich später drin bin. Also ich bin im Netzwerk dann eingedrohen. Da muss ich nicht mehr großartig scannen, sondern da fahre ich erst mal einen Angriff auf ein Exchange. Denn weiß ich ja schon, da muss ich nicht mehr suchen. So was mache ich im Vorfeld alles und gucke mir an, ob ich irgendwelche Mitarbeiter-Zeitschriften oder sowas finde, die das Unternehmen im Internet veröffentlichen. Da sieht man dann ganz oft die Mitarbeiter fotografiert, in Gruppen stehen oder Einzelfotos, insbesondere wenn neue Mitarbeiter gekommen sind, die werden dann vorgestellt und wenn es Mitarbeiter-Ausweise gibt, dann haben die die natürlich angesteckt. Das heißt, ich kann mir das so einfach ranzoomen und habe dann sofort zum Mitarbeiter-Ausweis und kann den fälschen. Also auch das ist eine schlechte Idee als Unternehmen, das kann ich ja relativ gut dann mir anschauen. Gästerausweise, Besucherausweise, genauso gleiche. Handelsregister, alles das, was man so findet und für physisch natürlich Satellitenbilder Google Street View, whatever da kann ich immer mal schön schauen, wo ist denn da eventuell eine Mauer, wo kann ich den angreifen. Das gucke ich mir alles erstmal remote an, bevor ich dann wirklich on-site gehe. Wenn ich dann vor Ort gehe, dann schaue ich mir klar erstmal das Gelände an, gehe mal einmal um Block quasi und überprüfe vor allem auch mal gibt es dann Werkschuss. Gibt es eine Schließrunde, wann läuft die denn daher, wann laufen die denn daher und schließen oder prüfen, prüfen ob die ob die Türen zugeschlossen sind. Ja gibt es einen Partner, wo ist die Kameraüberwachung, haben die überhaupt eine, ist die aktiv. Ich schaue mir an wie sich die Mitarbeiter verhalten. Ein schöner Auftrag in Hamburg, da hatte ich den Tag vorher Recon gemacht und wir wollten, wir hatten uns ein total toller Story überlegt. Wir wollten da als Jens, du warst dabei. Was wollten wir als Vermessungsdienst, wollten wir da auftreten und mit einer kompletten Kameratasche da rein rennen und einfach bitten, ob wir da mal rein dürfen. Und Tag vorher war ich da und da ist mir aufgefallen Punkt 12 Uhr Personal-Tür ein auf und zu. Da sind die alle in die Mittagspause gerannt. Und die schloss so langsam diese Tür, dass man wirklich ungefähr 20 Sekunden Zeit hatte, wenn da einer raus ist, einfach reingeht schon drin im Gebäude. Und das sieht man halt einfach, wenn man sich mal anguckt, was ist denn da gerade los, wie verhalten sich die Mitarbeiter? Oder die Handwerker? Komischerweise, egal welche Aufträge wir machen, da ist immer irgendein Handwerker fort. Und das ist natürlich perfekt, weil dann bin ich halt in Zweifel auch ein Handwerker. Die sind eh dran gewöhnt, dass Handwerker am Haus sind und dann verkleide ich mich als Handwerk oder Dienstleister. Wir lernen Antennen, Zugangspunkte, irgendwelche Funk-Netzwerke. Da gucke ich mir natürlich auch an, ob es die irgendwo gibt. Und auch da gucke ich wieder auf Mitarbeiter- und Versucherausweise. Deswegen habe ich auch hier dann nochmal so ein paar Sachen mit, die auch wieder doof aussehen. Aber die brauche ich halt. Ich brauche ein Fernklass und was ich auch schon ganz gut erwiesen hat, ich brauche so ein Wärmebild-Zeil. Ich habe da noch so ein altes von, was mir passt. Damit kann man zum Beispiel schauen, ob Kameras aktiv sind oder ob das nur Attrappen sind. Weil die natürlich Hitze ausstrahlen, insbesondere nachts und andere davon senden die ja eh auch ein infrared Signal aus in der Regel. Und dann sehe ich, ist es wirklich eine Kamera oder ist es einfach nur eine Attrappe. Das kann ich mit so einem Teil sehr, sehr schön sehen, wenn ich da vor Ort rumlaufe. Das ist meine Lieblingskamera, die ich mir gekauft habe. Die kostet irgendwie 2000-fachen Zoom. Und das ist jetzt bei mir vor dem Haus und da hängt dann so oben so ein Schild, also da oben das ist da die normale Sicht und da sieht man, wie weit man darauf zoomen konnte. Und damit kann ich natürlich Mitarbeiterausweise und so weiter wunderbar fotografieren. Teilweise kann ich dann auch schon durch die Fenster durch fotografieren und sehe auf die Bildschirme und so weiter, was da geschrieben ist. Das ist den kostenabbeln Ei. Da braucht man keine Spezialgeschichten. Das kriegt man ganz normal. Oder was natürlich besonders viel Spaß macht ist eine kleine Drohne, mit der man da durch die Gegend fliegt. Man kann auch, wenn man gerade einen dabei hat, auch so ein USB irgendwie nach Troppen, dann lässt man dann irgendwo fallen. Da hat darauf achtet keiner. Also es ist unglaublich, wenn man da so ein Inhof mit so einem Teil reinfliegt, das hält nicht auf. Und wie vermutet keiner, dass da auf einmal einer mit der Drohne rumfliegt. Man hat einfach keine Informationen raus, weil man einfach von der anderen Seite vom Zaun guckt. Deswegen hat man dann einfach dabei, man schleppt sich halt der Regel auch tot bei solchen Aufträgen. Das sind so die Vorbereitungen. Das packe ich ein, das nehme ich mit, damit ich letztendlich einbrechen kann und dann überlege ich mir, was tu ich denn. Jetzt möchte ich außerhalb der Geschäftszeiten angreifen oder möchte ich innerhalb der Geschäftszeiten angreifen. Das geht ja zu der ganz normalen Geschäftszeit, wenn die Mitarbeiter da sind, angreifen. Die meisten. Warum? Da fällt es nicht auf. Nachts ist da der Werkschutz vielleicht unterwegs. Nachts sind alle Türen zu, tagsüber ist alles offen. Die arbeiten da. Also in der Regel greifen wir tatsächlich tagsüber an. Ganz normal zu den entsprechenden Geschäftszeiten. Dann habe ich meine Verkleidung angezogen. Ich habe auch gleich nochmal meine Ausweise gedruckt und dann muss ich anfangen bei mich in diese Rolle zu geben. Da muss ich ein Habitus übernehmen. Also wenn ich ein Handwerker bin, dann laufe ich automatisch ein bisschen so, gucke langweilt, total gestresst und überhaupt. Und dann bin ich halt mein Handwerker. Ich kenne viele Geschichten. Also wenn ich zu viele Geschichten erzähle, dann stopp mich bitte. Wir sind in dieser Montur durch Hamburg gelaufen und haben da die Botsteinschwalben die ganze Zeit angemacht. Ey, geil, ein Handwerker. Bock auf Schweinerei. Wir hatten halt mal die kompletten Sachen so an, waren auch noch in dieser Rolle drin und die haben uns das voll abgekauft. Also das funktioniert schon ganz gut. Wenn ich das nicht kann, dann sollte ich das nicht tun. Also wenn ich mir unsicher bin, wenn ich nicht dieses Schauspielern kann, dann sollte ich das auch auf keinen Fall tun. Ich kann dann zwar versuchen die Türen zu knacken oder aufzuschließen, aber dann sollte ich nicht dieses Essay und dieses Thema mit den Verkleidungen machen. So einen Teil braucht man dann auch. So einen Ausweistrucke. Der ist jetzt auch nicht so wahnsinnig teuer. Da guckt man, dann kann man sich dann tolle Ausweise drucken. Das Bild ist absichtlich so. Weil die Bilder sind ja in der Regel nie so, solche Businessfotos, sondern das sind ja immer nur so ja Wiesner, kommen wir jetzt mal, wir müssen jetzt mal dein Foto machen. Und so sehen die halt auch alle aus. Dann macht man sich irgendeinen Ausweis. Das funktioniert auch. Oder man nimmt irgendeine Firma, wo man weiß, man hat den Zing geguckt, die haben jetzt Sophos Firewalls, dann macht man halt ein Ausweis und schreibt Sophos drauf. Weil die IT dann weiß, das macht schon Sinn, wenn der hier ist. Das macht man entsprechend und das ist leider ein Foto, ich verlege Jens Liebauer hier vorne und ich. Und da sind wir gerade in unserer Verkleidung. Engelt bei Strauß, ich will keine Werbung machen, aber da kriegt man tolle Sachen. Da sind wir in dem Gebäude und haben einen großen Fehler gemacht. Draußen waren es, ich glaube, so um die 5 Grad. In dem Gebäude waren es ungefähr 25 Grad. Und wir konnten den Aufzug nicht bedienen, weil der funktionierte nur mit einer Schlüsselkarte. Das heißt, 6 Stockwerke mindestens 3 mal hoch und runter gerannt. So sehen wir auch aus. Wir haben geschwitzt ohne Ende. Das ist schon mal so ein Tipp nebenher. Im Gebäude jacken aus. Irgendwo hinschmeißen oder vielleicht nicht so dick anziehen. Das war echt schon ziemlich übel. Bei dem Beispiel sind wir ganz einfach reingekommen. Wir haben gesehen, die haben solche RFID-Tokens. Die konnten wir nicht kopieren, das war irgendwas, aber ich hatte einen, der sah genau so aus. Da sind wir einfach hinter einem, hinterher gerannt, der dann reingegangen ist, und ich habe dann einfach so getan, dass ob ich jetzt hinter ihm auch an das Lesegerät wollte. Dann hat er das gesehen und dann kommt er doch direkt mit rein. Das funktioniert auch. Man muss nicht unbedingt Schlösser eröffnen. Man kann sich auch einfach hinten dranhängen. Was wollen wir denn machen? Wir wollen Zäune oder an Zäunen vorbei. Wir wollen Tore und Türen überwinden. Wir wollen in die Gebäude rein. Wir wollen Technikräume finden, weil da sind meistens irgendwelche Netzwerkzugangspunkte. Oder wir gucken einfach, wie läuft denn die Verkabelung? Ganz oft ist es so, dass in Tiefgaragen zum Beispiel die Teilöffentlich sind und einfach unter der Decke irgendwelche Netzwerkabel rumlaufen. Macht mal den Test, ob man da oft irgendwelche Netzwerkabel rum, die dann das komplette Gebäude oben drüber bedienen. Weil die haben ganz oft solche zentralen Gemeinschaftsserverräume im Keller. Da muss man sich nur anhängen und dann ist man eigentlich schon drin, wenn man es kaputt machen würde. Also sowas muss man sich einfach mal angucken. Das sind jetzt alles Votos von Projekten, von Aufträgen, die wir da umgesetzt haben. Das ist so der Klassiker. Der Klassiker kommt komplett rum, auch teilweise eine Mauer. Da geht man dann einfach mal rum und wackelt überall dran. Man sieht schon, da konnten wir einfach reinschlüpfen. Das war aber auch kein Problem. Sowas sieht man auch ganz oft. Das sind nur Tore, die nicht verschlossen sind, die nur eingeschnappt sind. Die haben dann irgendwie von vorne so ein Stahlblech dagegen, dass man das nicht einfach so ganz einfach öffnen kann. Der Klassiker, den wir auch immer wieder sehen, links das schwarze, da habe ich eine rauchende Person ausgeschwärzt, damit man die nicht identifizieren kann, Rauchertüren. Da, wo die Raucher sich treffen, die sind in der Regel offen oder sogar verkeilt. Oder wenn ich mir so RFID-Tokens kopieren möchte, dann suche ich mir auch immer erst die Raucherecke. Dann gucke ich, wo ist draußen die Raucherecke? Gehe dahin, eine Zigarette in der Hand, stell mich dabei und wo ich dann meinen kleinen Proxmark habe oder sowas einfach mal bei den Leuten so eng vorbei und dann habe ich ganz schnell mal 3, 4 IDs dann auch kopiert. Also Rauchertüren, verkeilte Rauchertüren, perfekt, kann ich ganz einfach rein. Das zweite, was wir ganz oft sehen, das Bild ist von drin, also von innen, und das sind solche Türen, die einfach nicht mehr funktionieren, die einfach sehr schwergängig sein, aber die Rauchschließe einfach nicht mehr richtig funktioniert. Die gehen dann gar nicht zu, d.h. die fallen nur so halb ins Schloss und ich kann sie einfach auch drücken oder das dauert halt Ewigkeiten, bis sie zugehen. Und dann komme ich halt auch darüber rein. Diese Türe immer abschließen, das haben wir auch, das Beispiel, da haben wir einen geführten Pentest gemacht, da wollte unbedingt ein IT-Leiter mitkommen. Der wollte einfach gucken, was wir da so tun, da fand das total spannend. Und dann waren wir unten im Gebäude drin und er ging so vor und sagte, ja, da hinten, da braucht er gar nicht reingehen, da ist zu. Das war halt weitergegangen, zu der Tür. Wir haben die halt aufgemacht, da war die halt auf. Wenn irgendwo draufsteht, diese Tür muss geschlossen sein, kann man davon ausgehen, dass sie offen ist. Diese Denkweise finde ich immer so spannend. Der fand das total, der war total perplex, dass die Tür auf ist. Das konnte er gar nicht verstehen. Das konnte er gar nicht befassen. Dass diese Tür, die doch zu sein muss, dass die tatsächlich offen war. Also auch da einfach mal an den Türen rütteln. Die sind ganz oft auf. Das ist unglaublich. Oder sowas hier. Das war so von einem Fahrradkeller, ging es dann unten ins Gebäude rein. Da war halt irgendwie ein 15 cm Schlitz unter der Tür. Und ich habe mal so ein Foto von einer Türklinkenangel da rechts oben rein gemacht. Da geht man dann mit so einer Angel unten durch und macht einfach die Türklinke drückt, die runter und kommt dann rein, wenn die Tür nicht verschlossen ist. Die Tür war natürlich nicht verschlossen, die war auch wieder nur ins Schloss gefallen. Das ist so eine ganz coole Übersicht der Schlüssel, die man haben sollte. Das ist von Rital, das ist ein CH751, das ist so ein EK333. Das sind so die meisten Schlüssel, die wir bei Server oder Netzwerkschenken sehen. Da gehört jetzt vielleicht noch so ein Huawei 1812A oder sowas dazu. Das ist der von der Telekom, wenn jemand mal eine Basisstation sieht. Die kriegt man ganz normal. Ebay oder Amazon. Kann man sich da ein 10er Pack kaufen. Das ist gar kein Problem. Die habe ich immer dabei. Die habe ich auch jetzt dabei, weil es kann ja sein, dass ich es immer brauche. Das ist so mein Schlüsselbund. Da ist noch ein Vierkant von der Bahn dabei. Ich bin viel mit der Bahn unterwegs. Und wenn die Bahn mir dann meinen Abteil verwehrt und zuschließt, dann mache ich es mal wieder auf. Nein, da darf ich natürlich nicht. Aber so ein paar Sachen braucht man. Da ist auch zum Beispiel ein sogenannte K2 Schlüssel mit dabei. Der ist in Hamburg sehr beliebt. K2 Schlüssel, damit kriege ich in den meisten Wohnungen die Elektroverteile auf. Das ist ein Standardschlüssel. Der ist komplett in Hamburg gleich. Wenn man den hat, ist man da schon ziemlich weit drin. Und wir haben auch noch einen anderen Schlüssel. Der hat einfach nur eine Nummer höher. Also nicht K2, sondern einen höher. Wenn man den hat, dann kommt man auch in alle Verteilerstationen in Hamburg. Das heißt, man kann den ganzen Kästen aufmachen. Das ist standardisiert. Das ist ein Zeiseikonschlüssel. Und den kriegt man halt auch irgendwie auf Ebay. Oder so. Das muss man einfach mal nach suchen. Spannend ist schon ganz cool, wenn man den hat. Klassische Tür, Sperrgeschichten, Karten oder einfach so ein Lockpicking-Set braucht man in der Regel auch. Wir setzen es selten ein. Also sehr selten, weil tatsächlich die Türen meistens offen sind. Das ist ein schönes Bild. Das wird es von einem Auftrag vor zwei Monaten jetzt. Das sind solche Schlüsselkästen. Die IT hat sich gedacht, wir schaffen jetzt mal Schlüsselkästen an, damit wir so halbwegs dokumentieren können. Wer hat denn jetzt welchen Schlüssel? Und das war halt schon nach dem Test. Das Problem war diese Schlüsselkästen, die waren mit einer Pin geschützt. Jeder Mitarbeiter hatte eine eigene Pin vielstellig. Und das war dieser geführte Pen-Test. Ich stelle mich dahin und frage den IT-Leiter, haben die Dinger denn eigentlich Brutvorschutz? Und er so, was für ein Schutz? Brutvorschutz, klack, weil die der erste Tür auf. Da habe ich mit meinem Hochzeitsdatum angefangen und habe einfach zurückgezählt. Und hatte nach fünf Mal ausprobieren, hatte ich tatsächlich schon den ersten. Also nur eine Pin, das ist nur ein Faktor, das mache ich nicht. Und damit kriegte ich halt alle auf. Und das Ding ist eigentlich ganz cool, weil das hat auch abhängig von der Person, die da ihre Pin ein gibt, gibt das auch nur die Schlüssel frei, für die die Person den Zugriff hat. Also eigentlich eine ganz coole Idee, aber nur ein Faktor und kein Brutvorschutz. Ich konnte letztendlich da so lange probieren, wie ich wollte. Und hatte dann innerhalb von fünf Minuten zwei unterschiedliche. Das eine war von einem externen Dienstleister, den zweiten Pin war vom IT-Leiter persönlich. Man sieht, dieser hier ist fast alles rot, aber das war schon ganz cool. Ja, das habe ich eben schon mal erzählt. Das ist so ein typischer Stromverteiler, den man überall rumstehen sieht. Und man sieht, den kriegt man halt mit einem entsprechenden Schlüssel auf. Da waren wir dann auch, haben wir mal reingeguckt, eine ganz schöne Geschichte. Das kennt sicherlich jeder, so ein Proxmark 3. So ein RFID-Multitool, mit dem ich alles Mögliche machen kann, hat man auch immer dabei, damit kann ich RFID-Torquens kopieren und dann kommen da in solchen Systemen rein. Ach genau. Hier sieht man so Teil im Einsatz. Das war mal mein Hotelzimmer, da war wir langweilig. Und da habe ich dann mit der älteren Version einfach mal mein Hotelzimmer penetriert und kam dann halt auch da drüber rein. Da habe ich dann dem Hotel gesagt, das hat erstmal alle Schuld von sich gewiesen, haben gesagt, wir haben eine Risiko- Beurteilung gemacht. Und die, ja, später hatten sie tatsächlich alles ausgetauscht. Komisch. Ja, das ist auch von einem Auftrag, das ist so der Original-Token. Das war ein sogenannte EM4002, wer sich da so ein bisschen auskämpft, das ist ein Chip. Der hat eine ID. Und mit der ID sagt er dann, sagt das ist das System dann, ob ich reingekommen oder nicht. Nur eine ID. Das ist nicht verschlüsselt, gar nichts. Die Dinger werden regelmäßig immer noch bei einem Unternehmen, da wollen sie jetzt die F&E-Abteilung, wollen sie jetzt nochmal nicht ein zusätzliches Zutrittssystem schützen. Und da ich da halt in den Prozessen und den Projekten drin bin, habe ich das auf den Tisch bekommen und habe gesagt, was habt ihr denn da für Chips? Habt ihr mal angefragt, was die für Chips verbauen in dem System? Ja, kommt noch die Info. Dann kam die Info EM4002. Und dann kommt dann von mir der sachdienliche Hinweis, wenn wir das kaufen, dann können wir das auch gerade lassen. Und der Dienstleister, den war das vollkommen egal, der hatte da keinerlei Bewusstsein für. Der verkauft also an Unternehmen, die sich auf den verlassen, verkauft der Zutritts-Chips, die einfach kopierbar sind. Wo ich wirklich 15 cm dran vorbei laufe und das den kopiere und dann komme ich überall rein. Also keine schöne Geschichte. Für uns fand ich es eigentlich ganz eine coole Geschichte. Ja, das sieht man auch hin und wieder schon mal. Das ist meine Originalfoto von mir, aber das nutze ich in anderen Slides schon mal ganz gerne. Da ist es in der Regel so, dass dann auch die Pinfolge von oben nach unten ist. Also 1790 wird das hier wahrscheinlich gewesen sein. Wo man auch diese Wärmebildkameras schön für nutzen kann, ist einfach, wenn jemand an dem Pinfeld war und wenn man kurz danach hingeht und einfach mal mit so einem Wärmebildgeräter drauf schaut, dann sieht man, wo er gedrückt hat. Das geht auch bei EC Terminus relativ gut. Das hier ist jetzt so eine verschlüsselte Festplatte. So eine IBM Lenovo-Festplatte mit Pin-Eingabe. Und das war ungefähr eine Minute, nachdem ich die Pin eingegeben hatte. Hat man das immer noch so deutlich gesehen. Hängt so ein bisschen von den Witterungsgegebenheiten ab, aber naja. Wenn ich denn drin bin, dann gucke ich mir halt an, was kann ich da so erreichen. Das ist der Klassiker, das war auch eine Tiefgarage beziehungsweise der Fahrradkiller, da lagen dann einfach die Kabel quer durch den Raum. Hätte ich dann einfach dran gehen können und wäre komplett im Chornetzwerk das Auftraggebers gewesen. Das wäre unschön gewesen, aber ich hätte was kaputt machen können. Für so Sachen brauche ich mein Werkzeugkoffer und meine kleinen Spezialbits, solche Gegensprech-Einrichtungen. Ja, sehen wir immer wieder und ich glaube, bei dem war es jetzt nicht so, aber bei den Modernen sind ja alle per Netzwerk angebunden. Das heißt, da guckt dann irgendwo in der Wand, wenn ich das Ding abschraube, bin ich dann halt an diesem Kabel im Netz. Und glaubt man nicht, dass die ihre Netze alle segmentieren. Das heißt, ich bin dann in der Regel irgendeinem kleinen Netzwerk und komme von daraus dann einfach weiter. Ja, so sieht dann so eine Einhose, die man da mit dem K2 oder K3-Schlüssel aufbekommt, so sah die aus. Auch hier wieder Netzwerkzugangspunkt zum kleinen Industrie Switch gefunden, drangestöpselt, Spaß gehabt. Und es ist ein PC mit Windows XP. Das ist übliche. Ja, so was sieht man ganz gerne, Access Points. Die Modernen sind zwar ein Netzwerkseitig in irgendwelchen Management-Netzen drin, da komme ich dann nicht unbedingt mehr raus, aber versuchen kann ich das. Und viele sind tatsächlich auch einfach Plane im Netz drin, also bei den kleineren Unternehmen. Oder so, der typische Drucker ist eigentlich in der Regel so, dass wenn wir auf einer Etage kommen sind, dass wir als Eiler erstens hören, wo wird hier gedruckt oder kopiert. Wo läuft hier ein Drucker, der Druckerraum? Da latscht man dann hin und gibt sich dann, als wir auch immer aus, da war auch eben das Foto vorn, da hatten wir eine Stunde bei den Druckern gestanden und haben dann fröhlich vor uns hingeheckt, bis irgendwann mal ein erboester Mitarbeiter reinkam und wir dachten, jetzt hat er uns erwischt und er fragte dann, kann ich hier bald wieder arbeiten? Ich muss was drucken. Dann sagten wir ja, wir sind ja nur am rechten Drucker, an den linken können sie ja nehmen. Ja, dann ist ja alles gut. Ja, Drucker immer schön, weil, warum? Drucker sind in der Regel, wenn die irgendwelche Nackgeschichten, so Network Access Control Geschichten im Einsatz haben, dann sind die Drucker ganz oft ausgenommen davon. Weil die irgendwie keine Zertifikate können und so weiter und dann machen die so ein Fallback auf Mac-Adressen, dann muss ich mir einfach nur ins Menü gehen vor dem Teil, die haben ja eh meistens irgendwelche Standard-Kennworter drin, guck mir an, welche Mac-Adresse hat der Drucker und wir nehmen die einfach auf meinen Rechner und dann können wir auch wieder treppen. Ja, das ist bei Drucker immer eine schöne Geschichte. Segmentiert sind die nicht. Das ist so ein Zutretzterminal, das sieht man auch unten einfach ein Netzwerk reingestöpselt, auch da, das war sogar, glaube ich, im öffentlichen Bereich. Also ganz normal komme ich da rein und sehe so ein Ding, da komme ich dann auch ins Netzwerk rein. Das haben wir dann auch mal aufgemacht, da hätten wir auch schön so einen kleinen Network Implant installieren können. Das hat kein Mensch gemerkt in diesem Teil. Ja, die Klassiker, irgendwelche Dosen, das war auch schön. Das war ein Netzwerkstrank, der war richtig toll gesichert, ein elektronisches Schloss davor und was hängt unten raus? Ein Patchkabel mit einer Dose. Ja, damit kam man dann auch wieder ins komplette Kernnetz von unserem Auftraggeber. Das war auch relativ übel. Ja, gibt es nicht viel zu sagen. Solche Switches liegen da auch ständig in der Gegend drum. Telefone, auch wieder ganz schön. Hörtelefone, die nehmen wir auch ganz gerne um uns irgendwo rein zu hacken. Einfach Mac-Adress geklone, fertig ist man drin. WLAN ist auch so eine Sache, da gibt es ja so von Hack5 so ganz coole Sachen, diese verschiedenen Gerätschaften, die dem Angebot haben. Das links ist so ein Portabel, rechts ist der Tetra, da kann man Fake Access Points mit aufmachen, Rogue Access Points. Man kann irgendwelche D-Off-Attacken mitfahren und versuchen einfach irgendwie die Leute dann dazu zu bewegen die sich bei uns anzumelden und dann ihren Gear einzugeben. Aber das kommt in der Regel nicht so oft vor. Das ist halt ein Beispiel dafür, dass man auch eigentlich gar nicht hacken muss. Wer es erkennt, das ist Orbis, das ist aus einem Krankenhaus, das ist das Krankenhaus-Informationssystem, was da offen ist. Die Krankenhäuser haben da echt Probleme. Das sind öffentliche Räume, öffentlicher Bereich, da kann man einfach reinlatschen, guckt sich das an und lernt ja in der Regel ihre PCs nicht. Das heißt, die ganzen ArztPCs, die sind wirklich zu mehr als 70%, sind ja einfach ungesperrt. Da komme ich hin, setze mich dann dahin und fange einfach an zu arbeiten. Und hier war es so, da wurde ich nach einer Stunde, wurde ich dann von einer Mitarbeiter dann angesprochen, was ich denn hier so tun würde und da habe ich gesagt, ja, ich mache hier eine Sicherheitsüberprüfung. Ja, hat sie sich bedankt und ist wieder gegangen. Ja, also auch so wie das Thema Habitus. Ich höre dahin, ich mache eine Sicherheitsüberprüfung. Ich hatte auch einen gefälschten Mitarbeiterausweis, aber ja, das war auch ganz nett. Das ist so ein Konferenzhotel gewesen und da konnte man dann die USB-Ports dran. Da kann man natürlich tolle Sachen anstecken. Da war auch irgendwie klar keiner, da haben wir da was angesteckt und hatten auch Spaß mit dem System. Gatches gibt es ja super viele. Das ist auch wieder von Hack5. Das sind so kleine Teile, die da dran hängen und die kommen dann zwei, drei Tage, die verbrauchen nicht viel Strom, irgendwo einfach mit Gaffer-Tape hinten dran kleben und schleifen das komplette Netzwerk da durch. Die haben zwei Netzwerk-Ports, einmal ein, einmal raus. Die fähigen dann irgendwie, die hängen sich teilweise auch an 802 FX hinten dran und es kommen dann über das Netzwerk und der eine, den haben wir vorbereitet, der Snift mit. Das heißt, der schreibt dann einfach so ein TCP-Dams und Pickup-File mit einen Tunnel auf oder versuchten Tunnel aufzumachen. Einfach zu meinem Server, wo ich mich dann zurück über VPN dann auf das System drauf hacken kann. Ich glaube, die Dinger heißen Larn-Turtle oder so von Hack5. Oder man nimmt einfach was man so bekommt bei Amazon, so TP-Link-Teil oder so oben die Kosten an diese 12 Euro oder einfach ein Raspberry Pi. Da klebt man dann auch am besten so ein Prüf-Ding drauf. Dann weiß man genau, das Teil gehört hierhin. Damit habe ich mal rumgespielt, weil wir kommen, wenn wir sowas in Server-Räume oder sowas installieren, da kommen wir schlecht mit LTE oder mit 3G raus. Die sind ziemlich abisoliert und wenn man dann auch nicht über ein Tunnel rauskommt, weil die Firewall gut konfiguriert ist, dann habe ich halt ein Problem, wenn ich da irgendwie so ein Network-Implant installieren will. Und da habe ich das mal mit Lora getestet. Ich weiß nicht, ob Lora jedenfalls sagt, es ist halt so ein Long Range-Funk-Technik, die relativ gut durch alle möglichen Gebäude, Mauerwerk und so weiter durchkommt. Da hat man zwar nur 9k6 nachher, also zu mich langsame Geschwindigkeit, aber für eine Shell reicht das. Um einfach eine Shell aufzumachen und irgendwie Metasploit zu starten oder was auch immer. Das sind so die Mittel, wenn ich einmal drin bin, wie ich dann meine Privilegchen eskalieren kann. In der Regel ist es tatsächlich so, dass wir uns mit einem Notebook dahin stellen, wenn wir tagsüber da sind und wir sind gut in unserer Verkleidung unterwegs, und wir reden und hacken da vor Ort. Das interessiert ja eh keinen. Das weiß ja keiner, was man da so tut. Und was macht man dann? Entweder so einfach drauf, Nessus starten und alles, gibt ihm. Im Mittelstand ist ja so, die haben sehr selten, erkennen die sowas überhaupt. Oder was ich jetzt letzten Mal gemacht habe, einfach mal so ein Blind, Eternal Blue oder so ein Blue Keep, einfach mal so ins Netz geballert. Was habe ich vielleicht von außen? Einfach mal ein Blue Keep drauf gemacht. Einfach so mal rausgeworfen. Der baut mir dann automatisch einen VPN-Tunnel auf zu mir und präsentiert mir eine Shell auf irgendein Windows Server, wo er gerade irgendwie reingekommen ist. Also sowas sollte man automatisieren, weil sonst kommt man ja dazu nicht. Ja, das war bis jetzt der Spaß. Das ist so das, was wir machen. Das macht richtig Spaß. Wir können selber einen Standarm spielen. Das ist nicht so ein blödes Management, was ich da sonst immer so mache, sondern wirklich Spaß. Und dann kommt natürlich der Abschlussbericht. Jeder Pentester kennt das. Abschlussberichte schreibt man nicht gerne. Aber da ist natürlich super wichtig dabei. Das heißt, wir müssen einen aussagekräftigen Abschlussbericht schreiben, wo wir vor allen Dingen reinschreiben. Das ist unsere Einschätzung für das Risiko, was ihr hier habt. Es ist jetzt ein sehr hohes Risiko, die wir hier ausnutzen und sind jetzt domain admin. Das ist in, ich glaube, 80 Prozent der Fälle. Da ist es so, tatsächlich. Da kann ich mein Template nehmen. Da steht ja das Gleiche drin, weil man kommt hier rein. Und dann gucke ich mir einfach an, was sind die Schwachstellen in dem Perimeter? Was waren die Schwachstellen in den Türen? Ein chronologischen Ablauf. Wann habe ich was gemacht? Welche Techniken habe ich eingesetzt? Und dann Fotos. Die gucken dann da immer drauf und denken sich, ja, da steht jetzt irgendwie, Tür war offen, man konnte da einfach eindringen, aber die glauben einem das nicht. Die wollen das Foto sehen, dass man drin war. Picture didn't happen, das kennen wir ja. Die Abschlussbesprechung, die wird dann immer ganz spannend, vor allem, wenn man mit dem Facilitymanagement zusammen setzt und die dann erklären, warum das denn auch so einfach war, da reinzukommen. Da fliegen schon mal die Fetzen. Ich glaube, einmal ist sogar irgendwie in den Vorstand gegangen, weil der irgendwie missgebaut hatte. Zum Abschluss noch so ein paar Do's and Downs. Was macht man, was macht man nicht? Ein paar Sachen davon habe ich schon erzählt. In der Regel macht man das zu zweit vor Ort. Also es macht es mehr Spaß. Man kann danach ein Bier zusammen trinken gehen und eine Person hat man in der Hinterhand. Die sitzt irgendwo im Headquarter und penetriert von außen oder sucht Sachen raus, die man wissen will. Also wenn man vor einem Schloss steht und das noch nie gesehen hat, eine Art im Hintergrund recherchieren, was ist das für ein Schloss, gibt es da Schwachstellen und so weiter. Ausweichen Zeit einplanen, das ist aufwendig so was. Man ist dann mal locker zwölf Stunden durchaus vor Ort, wenn man dann morgens anfängt und dann langsam aufhört. Und vor allem müssen wir gucken, wann gehen wir überhaupt ran, die optimale Zeit wählen. Mittags, stehe ich jetzt da nicht, aber mittags ist toll, dann sind die Türen auf. Weil die gehen in die Mittagspause. Oder ein warmer Sommertag. Was machen die Leute? Die Tore auf, die Türen auf, die werden verkeilt. Lauf ich einfach rein. Über solche Lieferantenwege zum Beispiel, Anlieferungsstellen, da gehe ich dann einfach rein, weil die sind dann offen. Oder so ein wichtiges Ereignis. Einen Tag vor der Bilanzpressekonferenz. In der AG rein. Die sind dann alle total bekloppt, die laufen alle rum, die Türen, die gucken nicht nach links und rechts. Dann greif ich natürlich an, weil dann macht es Spaß. Oder auch der Klassiker montagsmorgens um 8 Uhr in dem Krankenhaus. Patientenannahme. Da geht der Bank. Nutze ich aus, weil die Leute sind im Stress, das ist halt auch wie der SE, Social Engineering, die Leute sind im Stress. Und dann kann ich das ausnutzen. Ausrüstung optimal auswählen. Die ersten Male, wo ich das gemacht habe, hatte ich nachher echte Rückenschmerzen. Was es so gab. Weil man will ja für alles gerüstet sein. Aber natürlich nur das einpacken, was ich wirklich brauche. Den ganzen anderen, sagen Sie andere Graffel, das lasse ich irgendwo in meinem Stützpunkt liegen. Da habe ich dann meine Pelikäse, da liegt es dann alles rum, aber ich nehme nur das mit, was ich wirklich brauche. Weil ich bin da 12 Stunden unterwegs und ich will eben da nicht großartig mich dumm und dörmlich da schleppen. Aufklärung schon mit Grundausrüstung. Da habe ich schon mal Notebook dabei, da habe ich mein Werkzeug dabei, weil ganz oft ist es so, ich sehe bei der Aufklärung schon solche Schwachstellen, die ich auch direkt ausnutzen kann. Das war dieses Beispiel, wo ich zur Mittagspause da war und einfach reingehen konnte. Hätte ich da, da hatte ich nicht, in mein Notebook dabei gehabt, dann wäre der Auftrag schon erledigt gewesen. Da hätten wir an dem Tag den Auftrag schon beendet, weil letztendlich der komplette Zugriff ins Netzwerk dann da war. Fotos hatte ich eben schon mal, Plan B macht auch Sinn. Vor allem wenn man irgendwie die Gegebenheit vorfindet. Irgendwie, da ist ein Baumaßnamen gewesen, Recon und Einsatz ist irgendwie 2 Wochen auseinander, kommt man dahin, sieht es komplett anders aus. Da muss man sich halt im Plan B überlegen. Also das sollte man einfach nicht so statisch angehen, so eher so agil. Macht man ja so heutzutage. Und weiter ist du, und das haben wir uns gut überlegt, man sollte immer ein Ringelfleisch was dabei haben. Wer hat eine Idee, was wir damit machen? Den Hunden. Ja, den Hunden, ja. Da sind wir beim Werkschutz auf dem Gelände nachts, das war das Foto eben, wo wir durch den Zaun gegangen sind und gehen da so rum und irgendwann sehen wir da so eine einsame Person mit dem Hund stehen auf dem Gebäude, auf dem Gelände. Dann war das der Werkschutz und der hat ein Hund dabei gehabt. Und da konnte man 2 Menschen richtig schnell laufen sehen. Und da haben wir uns gedacht, ein Ringelfleisch was, das wär's jetzt gewesen, dann weif ich dann hin wie so ein Täuschkörper und ja, ab da schön. Und die letzte Folie auch noch so ein bisschen mit dem Augenzwinkern, was man alles so findet, wenn man denn mal drin ist. Das ist eine Alewurst. Eine Alewurst war so in der Kassel der Ecke da oben irgendwie. Und ja, die hing da, weil es war die optimale Temperatur im Serverraum, um so ein Zeug zu trocknen. Ja, noch ein paar Downs. Kein Hacker Style. Ich renne nicht in so einem Auftrag rum wie ein Hacker, ich hab kein beklebtes Notebook dabei und ein Tactical Rucksack dabei, wenn ich gerade jemand anders bin. Ja, das ist doof. Also wenn ich gerade Handwerker bin, dann lauf ich nicht mit so einem Tactical Rucksack mit rum. Da hab ich meine Werkzeugtasche dabei. Also da muss man sich schon so ein bisschen zurücknehmen, weil man hat ja auch nicht so viele Notebooks und die meisten sind ja eh beklebt und da muss man halt gucken, dass man eins hat, was nicht beklebt ist. Zu warm anziehen hatten wir eben schon mal, das ist keine gute Idee. Menschen sollten wir nicht bloßstellen weil unter Druck reagieren die manchmal so, wie man das nicht will. Und insbesondere dann, wenn so Aggressivität aufkommt und das hat man schon mal, wenn man dann auf einmal so einer Person gegenübersteht, die einen nicht kennt und die einen anguckt und die schon so ein bisschen schweißnase Finger bekommt und auch schon so ein bisschen Drohgebärden macht, dann sagt man, okay, dann fliegt man lieber ab. Ein anderes Beispiel war, da sind wir dann zu dritt, saßen wir in einem Büro, hatten uns da verschanzt und dann klopft es an der Tür und dann schon ansachte, was machen Sie hier? Wir so, ja, wir haben hier ein Projekt, bla, bla, bla, wir arbeiten hier. Aha, ja, aber hat hier jemand an Netzwerk rumgefummelt? Nein, haben wir nicht. Unter den Tischen lagen, ich glaube, zwölf Geräte, irgendwelche Sniffer hat er gar nicht gesehen und dann geht er raus und wir alles zurückgebaut, alle Türen alles auf, alles wieder zurückgebaut und ich stehe so an der Tür und höhe ihn sprechen, da hat er mit seinem Chef telefoniert was soll ich denn jetzt machen? Also er hat richtig Stress der Typ und da haben wir es auch bis zum Schluss durchgezogen er hat glaube ich bis zum Schluss nicht gewusst, wer wir eigentlich waren, aber das kann schnell kippen, also Aggressivität, Stress ein Zweifel lieber abbrechen, weil ansonsten kann das schon mal ein bisschen komisch werden und ich hätte echt gerne die Telekom gehackt ich hätte gerne gehackt aber die war out of scope also diese Telekom, diese Basisstation die war out of scope nicht hinreißen lassen das ist halt verdammt schwer vor allem wenn man solche low hanging Floods da hat wo man einfach sieht, oh ja, geil aber nein, gehört nicht zum Auftrag weitergehen okay, das so als ganz kleine Einführung ich weiß nicht ob wir noch Zeit haben für Fragen ansonsten vielen Dank wer hat noch Fragen ansonsten, ich bin ungefähr noch eine Stunde hier oder so ein Zweifel auch draußen keine? Alles klar, danke