Penetracja nie zawsze jest przyjemna

Podobne tematy

123456 – na czele najpopularniejszych haseł Alarmujący raport studentów Uniwersytetu Cypryjskiego

Studenci Wydziału Inżynierii Komputerowej Uniwersytetu Cypryjskiego przeanalizowali ponad miliard kombinacji nazw użytkowników oraz haseł, które wyciekły z Internetu w...

Kaspersky pomaga giełdzie kryptowalut Indacoin powstrzymywać oszukańcze operacje

Jedną z głównych zalet kryptowaluty jest możliwość błyskawicznego dokonywania bezpiecznych transakcji. Jednak anonimowy i zdecentralizowany charakter takich transakcji może...

Aplikacje z Google Play kradły hasła do Facebooka

Google usunął z platformy Google Play 25 aplikacji, w których znajdował się złośliwy kod przechwytujący loginy i hasła do...

Na pewno większość z Was spotkała się z tym pojęciem w czasie lektur serwisów internetowych poświęconych bezpieczeństwie czy to infrastruktury sieciowej czy aplikacji. Określenie „test penetracyjny” pojawia się oczywiście w kontekście RODO. Na czym polegają takie testy, z czym się wiążą i co można dzięki nim osiągnąć?

Co to jest test penetracyjny?

Mówiąc ogólnie jest to zaplanowany, kontrolowany, celowy, uzgodniony z podmiotem będącym właścicielem serwisu www, aplikacji i infrastruktury atak hackerski. Ma na celu sprawdzenie, czy testowany „obiekt” jest odporny na działanie cyberprzestępców, a więc znalezienia błędów, luk, niedociągnięć, błędów w konfiguracji, błędów w aplikacjach, kodzie czy też nieświadomości w zachowaniach użytkowników. Końcową fazą testu jest stworzenie odpowiedniego raportu i zaleceń, co trzeba zmienić, żeby system teleinformatyczny był bezpieczniejszy.

W jaki sposób odbywa się test penetracyjny?

Przede wszystkim jest uzgodniony ze stroną atakowaną. Ustalany jest zakres, czas i metodologia testów. Testy mogą odbywać się z uprzedzeniem służb IT z danej organizacji lub bez. Te drugie rozwiązanie ma swoje zalety – służby odpowiedzialne za IT bardzo często „okopują się” i uważają, że wszystko jest w należytym porządku, a przed samym testem będą próbować zdyskredytować pentesterów czy też przeszkadzać w wykonaniu samych testów.

Co może być przedmiotem testu?

Przedmiotem testu może być infrastruktura IT wraz z systemami bezpieczeństwa, jak firewall’e, UTMy, sieci bezprzewodowe, przewodowe, aplikacje webowe, aplikacje działające wewnątrz organizacji, systemy operacyjne, aplikacje pudełkowe. Pentesterzy będą chcieli włamać się do systemów i pozyskać dane osobowe, biznesowe czy też dane dostępowe do poszczególnych elementów infrastruktury. Nierzadko pentesterzy uciekają się do testów socjologicznych, np. pozostawiając w firmie „do znalezienia” pendrive ze złośliwym oprogramowaniem, czy też wysyłając do pracowników maile z załącznikami zawierającymi programy umożliwiające włamanie się do systemów.

Testy ogólnie dzielimy na:

Black box – odzwierciedla rzeczywistą wiedzę włamywacza nt. badanych obiektów, jak np. adres internetowy aplikacji e-commerce. W takim przypadku pentesty trwają całkiem długo

White box – pentesterzy mają pełen dostęp do dokumentacji projektowej, kodu i konfiguracji sieci.

Grey box – czyli mieszane – gdy pentesterzy mają częściową wiedzę.

Nie chcę w tym miejscu wnikać w szczegóły, w stosowane metodologie przeprowadzania takich testów. Nie są one dokładnie sklasyfikowane i zmieniają się na bieżąco w zależności od infrastruktury organizacji i wykrytych luk w elementach składających się na nie.

Co warto sprawdzić przed wykonaniem takiego testu?

Całkiem niedawno w Internecie krążył dowcip o inżynierze z zakresu bezpieczeństwa informatycznego, który zadzwonił do prezesa firmy z zapytaniem o wolny wakat. Prezes firmy poprosił o przesłanie CV, na co aplikujący oznajmił, iż jego CV jest już na Pulpicie komputera interlokutora J Możemy powiedzieć, że jest to najlepsza metoda (aczkolwiek nielegalna) na pokazanie kompetencji.

Firma powinna przede wszystkim sprawdzić kompetencje i referencje firmy, która takowe testy wykonuje. Powinniśmy sprawdzić czy osoby wykonujące takie testy mają np. odpowiednie certyfikaty, które dokumentują umiejętności i wiedzę pentesterów. Przykładowe certyfikaty to: OSCP (Offensive Security Certified Professional) – Penetration Testing with Kali (PWK), poświadczające ogólne techniczne kompetencje z zakresu testów penetracyjnych; OSWP (Offensive Security Wireless Professional) – poświadczające techniczne kompetencje z zakresu testów penetracyjnych sieci bezprzewodowych czy eWPT (eLearnSecurity Web application Penetration Tester) – poświadczające techniczne kompetencje z zakresu testów penetracyjnych aplikacji webowych.

Najważniejsza jest uczciwość firmy, która takie testy wykonuje i przedstawienie kompletnego raportu. Nietrudno wyobrazić sobie sytuację, że firma wykonująca testy pozostawia znalezioną furtkę do systemu teleinformatycznego i wykorzystuje to do niecnych działań (szantażu, ataku, sprzedaży danych dla konkurencji). Dlatego warto wybrać sprawdzonego partnera.

- Reklama -

Gorące tematy

- Reklama -
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.