vorgehensweise
Testverfahren
Im Offensive Security Bereich ist oftmals die Rede von Black-, Grey- und White-Box Testverfahren. Doch was bedeuten diese?
Einsatzgebiet der Begriffe
Bei der Konfiguration, Auswahl oder Durchführung von Penetrationstests werden oftmals die Begriffe Black-Box, Grey-Box und White-Box verwendet.
Diese tauchen beispielsweise bei folgenden Penetrationstests auf:
Active Directory Sicherheitsanalyse
Angriffe ohne Zugangsdaten (black-box), als valider Domänennutzer (grey-box) oder Domain Admin (white-box)
Penetrationstest von Applikationen
Tests ohne Zugangsdaten (black-box), als valider Anwendungsnutzer (grey-box) oder mit Quelltext (white-box)
Szenario-basierte Tests und Überprüfungen
Analysen ohne Vorkenntnisse und Zugangsdaten (black-box) oder mit Informationen + Zugängen (grey-box)
Black-Box
Perspektive eines externen Angreifers ohne Kenntnisse über das Prüfobjekt. Der Angreifer besitzt weder Dokumentationen noch Zugangsdaten.
Grey-Box
Perspektive eines Angreifers mit Kenntnis über das Prüfobjekt, z.B. ein valider Anwendungsnutzer mit Zugangsdaten zum Prüfobjekt.
White-Box
Perspektive eines Entwicklers oder Auditors mit Zugriff auf die interne Dokumentation und dem Source-Code des Prüfobjektes.
Testverfahren
Black-Box
Dieses Testverfahren beschreibt in der Regel einen externen Angreifer ohne Kenntnisse über die zu überprüfenden Testobjekte oder IT-Infrastrukturkomponenten.
Ein realer Angreifer oder ethischer Pentester muss sich demnach selbstständig um die Informationsgewinnung vor und während seiner Angriffe kümmern. Informationen über eingesetzte Betriebssysteme, Softwareversionen, Programmiersprachen oder vorhandene Nutzerkonten bzw. Rollen in einer Anwendung sind im Vorfeld der Tests unbekannt.
Zum besseren Verständnis des Begriffes kann eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer auf einer dunklen, schwarzen Straße in der Nacht vor. Aufgrund der Dunkelheit ist es nicht möglich, die Umgebung oder ferne Objekte klar zu erkennen. Um sich zurecht zu finden, muss ein Angreifer seine Umgebung vorerst erkunden, die einzelnen Objekte begutachten und Licht ins Dunkel bringen.
- Keine validen Zugangsdaten
- Keine Informationen über das Prüfobjekt
- Eigene Informationsgewinnung notwendig
- Angriffsperspektive eines realen Angreifers von außen.
- Die Testvariante ist das Gegenteil zu White-Box.
Testverfahren
Grey-Box
Dieses Testverfahren beschreibt in der Regel einen Angreifer, welcher bereits einige Kenntnisse über die zu überprüfenden Testobjekte oder IT-Infrastrukturkomponenten besitzt.
Ein realer Angreifer oder ethischer Pentester besitzt demnach bereits im Vorfeld seiner Tests Informationen über eingesetzte Betriebssysteme, Softwareversionen, Programmiersprachen oder vorhandene Nutzerkonten bzw. Rollen in einer Anwendung. Weiterhin werden valide Zugangsdaten für eine Authentifizierung auf Anwendungsebene vom Kunden bereitgestellt.
Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer auf einer etwas nebligen Straße vor. Der graue Nebel erschwert zwar die Sicht auf die Umgebung, jedoch können alle Objekte und Details ohne Probleme erkannt werden. Da der Angreifer weiterhin schon einmal vor Ort war, kennt er sich etwas in der Umgebung aus.
- Gewisse Informationen über das Prüfobjekt und die Infrastruktur im Vorfeld der Tests vorhanden
- Valide Zugangsdaten zur Anwendung
- Zugriff auf eine Dokumentation
- Zugriff auf eine Access-Control-Matrix
- Verständnis über Funktion und Einsatzgebiet
Testverfahren
White-Box
Dieses Testverfahren beschreibt in der Regel einen Entwickler oder Auditor mit Zugriff auf alle Informationen des zu überprüfenden Testobjekts.
Das Testverfahren simuliert einen internen Angreifer mit Insider-Wissen über die IT-Infrastruktur und Anwendungsumgebung. Der Zugriff auf interne Dokumentationen oder dem Programmcode von entwickelten Anwendungen selbst ist ohne Probleme möglich. Die zum Einsatz kommenden Betriebssysteme, Programmiersprachen, Nutzerkonten und Co. sind im Vorfeld bekannt oder können vereinfacht erfragt werden.
Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer in einem hellen, weißen Gewand vor. Er wird von allen Personen in seiner Umgebung als “Der Weise” betitelt. Er ist nahezu allwissend.