Seit Jahren berichten wir in unserem Podcast über gehackte Server und geleakte Daten. Dabei wird immer wieder klar, dass kein Server vor Angriffen sicher ist. Die Auswahl erfolgt vielmehr nach vorhandenen Swachstellen als nach Inhalt oder Betreiber einer Domain.
Gerade kleinen privaten Seiten oder Vereinsseiten aber auch kleinen Unternehmen möchte ich daher anbieten, diese unentgeltlich auf Schwachstellen zu untersuchen. Dabei werden sowohl automatisierte Scanner (z. B. OpenVAS, Nessus) als auch manuelle OSINT-Techniken angewendet. Es handelt sich dabei nicht um einen Pen-Test, d. h. es werden nur bekannte Schwachstellen gefunden und es werden keine gefundene Schwachstellen oder Benutzerdaten exploitet.
Ich muß mich natürlich etwas absichern, wenn es um eine Analyse fremder Server geht. Daher brauche ich einen unterschriebenen Auftrag und einen Nachweis darüber, dass es Dein Server ist, den ich scanne. Wenn Du also Interesse hast, fülle mir bitte diesen Auftrag aus, schicke ihn an sven@0x0d.de (PGP) und lege die erforderliche Datei auf dem Webserver ab. Bitte hab Verständnis dafür, dass es bei hoher Nachfrage länger dauern kann, bis Dein Server an der Reihe ist.
Nach dem Scan erhältst Du eine Mail mit dem Scanreport (Englisch), eine Zusammenfassung der wichtigsten Punkte der Analyse und ggf. Handlungsempfehlungen. Bei der Beseitigung der Schwachstellen kann ich dann leider nicht mehr unterstützen, da ich meine Zeit dann auf die nächste Analyse konzentrieren möchte.
Ich mache das in meiner Freizeit und ohne kommerziellen Hintergrund. Ich möchte einfach meine Erfahrungen in diesem Bereich auf eine breitere Basis stellen, ein Gefühl dafür entwickeln, welche Schwachstellen da draußen am Verbreitesten sind und ein Standardvorgehen für mich entwickeln, mit dem ich schnell und effizient zu einem Ergebnis komme. Ich glaube, dass das Angebot auch für Serverbetreiber attraktiv ist, die nicht über das technische Know-How oder die Mittel verfügen, dies selbst zu machen.
(sven)