Security-Test-Tools für "nicht-Security Experten"

Bachelor Studiengang IT Security

Siegfried Hollerer, BSc
19.09.2014

Ausgangslage

Software wird in der Regel von Software-EntwicklerInnen erstellt, welche kein oder wenig Wissen im Bereich Sicherheit verfügen. Trotz dieses Mankos soll es möglich sein, sinnvoll diverse Security-Tests durchzuführen.
Eine Reihe von Security-Tools wird nach folgenden Kriterien untersucht:

  • Funktionsumfang
  • Erweiterbarkeit bzw. Scriptbarkeit
  • Bedienung
  • Dokumentation
  • Lizenzkosten

Abschließend ist bei jeder Software eine Bewertungstabelle zu finden, welche einen Überblick über deren Stärken und Schwächen, welche rot hervorgehoben wurden, gewährt.

Ziel

Ziel dieser Arbeit ist es, Personen ohne Sicherheits-Fachwissen mit einer Reihe von Security-Tools zu unterstützen, um ohne teure Kurse oder Beratung bestimmte Security-Tests selbst ausführen zu können.

Ergebnis

Einige Programme wie beispielsweise OpenVAS, Nessus oder OWASP Zed Attack Proxy bieten Management-Ausgaben an, um die Auswirkungen auch ohne fachspezifischem Wissen abschätzen zu können. In der technischen Ausgabe werden bei der vorgestellten Softwaresammlung zwar detailliert die gefundenen Schwachstellen beschrieben, jedoch werden keine Workarounds, Best-Practices oder Hinweise zur Behebung der Schwachstelle genannt. Somit wird ein Security-Experte benötigt oder entsprechende Schulungen müssen finanziert werden, um anhand der gelieferten Ausgabe entsprechende Gegenmaßnahmen durchführen zu können. In diesem Abschnitt wurden drei konkrete Szenarien behandelt, welche versucht wurden mit den richtigen Tools ohne Sicherheits-Fachwissen vom Anfang bis zum Schluss (inkl. Interpretation der Ausgabe) zu meistern. Um die hier genannten Problematiken zu lösen, wurde ein Modell einer optimalen Sicherheitssoftware erstellt.

Ausblick

Als weiterführende Arbeiten sind die fortsetzende Suche nach passenden Tools und Szenarien und die Umsetzung des erstellten Modells vorstellbar. Eine Entwicklung von Parser-Programmen, welche die generierten Ausgaben der hier genannten Tools auch für nicht-Security Experten verständlich machen, wäre ebenfalls als weiterführende Arbeit denkbar.

FH-Betreuer: Dipl.- Ing. (FH) Thomas Brandstetter, MBA