Na pewno większość z Was spotkała się z tym pojęciem w czasie lektur serwisów internetowych poświęconych bezpieczeństwie czy to infrastruktury sieciowej czy aplikacji. Określenie „test penetracyjny” pojawia się oczywiście w kontekście RODO. Na czym polegają takie testy, z czym się wiążą i co można dzięki nim osiągnąć?
Co to jest test penetracyjny?
Mówiąc ogólnie jest to zaplanowany, kontrolowany, celowy, uzgodniony z podmiotem będącym właścicielem serwisu www, aplikacji i infrastruktury atak hackerski. Ma na celu sprawdzenie, czy testowany „obiekt” jest odporny na działanie cyberprzestępców, a więc znalezienia błędów, luk, niedociągnięć, błędów w konfiguracji, błędów w aplikacjach, kodzie czy też nieświadomości w zachowaniach użytkowników. Końcową fazą testu jest stworzenie odpowiedniego raportu i zaleceń, co trzeba zmienić, żeby system teleinformatyczny był bezpieczniejszy.
W jaki sposób odbywa się test penetracyjny?
Przede wszystkim jest uzgodniony ze stroną atakowaną. Ustalany jest zakres, czas i metodologia testów. Testy mogą odbywać się z uprzedzeniem służb IT z danej organizacji lub bez. Te drugie rozwiązanie ma swoje zalety – służby odpowiedzialne za IT bardzo często „okopują się” i uważają, że wszystko jest w należytym porządku, a przed samym testem będą próbować zdyskredytować pentesterów czy też przeszkadzać w wykonaniu samych testów.
Co może być przedmiotem testu?
Przedmiotem testu może być infrastruktura IT wraz z systemami bezpieczeństwa, jak firewall’e, UTMy, sieci bezprzewodowe, przewodowe, aplikacje webowe, aplikacje działające wewnątrz organizacji, systemy operacyjne, aplikacje pudełkowe. Pentesterzy będą chcieli włamać się do systemów i pozyskać dane osobowe, biznesowe czy też dane dostępowe do poszczególnych elementów infrastruktury. Nierzadko pentesterzy uciekają się do testów socjologicznych, np. pozostawiając w firmie „do znalezienia” pendrive ze złośliwym oprogramowaniem, czy też wysyłając do pracowników maile z załącznikami zawierającymi programy umożliwiające włamanie się do systemów.
Testy ogólnie dzielimy na:
– Black box – odzwierciedla rzeczywistą wiedzę włamywacza nt. badanych obiektów, jak np. adres internetowy aplikacji e-commerce. W takim przypadku pentesty trwają całkiem długo
– White box – pentesterzy mają pełen dostęp do dokumentacji projektowej, kodu i konfiguracji sieci.
– Grey box – czyli mieszane – gdy pentesterzy mają częściową wiedzę.
Nie chcę w tym miejscu wnikać w szczegóły, w stosowane metodologie przeprowadzania takich testów. Nie są one dokładnie sklasyfikowane i zmieniają się na bieżąco w zależności od infrastruktury organizacji i wykrytych luk w elementach składających się na nie.
Co warto sprawdzić przed wykonaniem takiego testu?
Całkiem niedawno w Internecie krążył dowcip o inżynierze z zakresu bezpieczeństwa informatycznego, który zadzwonił do prezesa firmy z zapytaniem o wolny wakat. Prezes firmy poprosił o przesłanie CV, na co aplikujący oznajmił, iż jego CV jest już na Pulpicie komputera interlokutora J Możemy powiedzieć, że jest to najlepsza metoda (aczkolwiek nielegalna) na pokazanie kompetencji.
Firma powinna przede wszystkim sprawdzić kompetencje i referencje firmy, która takowe testy wykonuje. Powinniśmy sprawdzić czy osoby wykonujące takie testy mają np. odpowiednie certyfikaty, które dokumentują umiejętności i wiedzę pentesterów. Przykładowe certyfikaty to: OSCP (Offensive Security Certified Professional) – Penetration Testing with Kali (PWK), poświadczające ogólne techniczne kompetencje z zakresu testów penetracyjnych; OSWP (Offensive Security Wireless Professional) – poświadczające techniczne kompetencje z zakresu testów penetracyjnych sieci bezprzewodowych czy eWPT (eLearnSecurity Web application Penetration Tester) – poświadczające techniczne kompetencje z zakresu testów penetracyjnych aplikacji webowych.
Najważniejsza jest uczciwość firmy, która takie testy wykonuje i przedstawienie kompletnego raportu. Nietrudno wyobrazić sobie sytuację, że firma wykonująca testy pozostawia znalezioną furtkę do systemu teleinformatycznego i wykorzystuje to do niecnych działań (szantażu, ataku, sprzedaży danych dla konkurencji). Dlatego warto wybrać sprawdzonego partnera.