Test penetracyjny to kontrolowany atak techniczno-informatyczny lub socjopsychologiczny skierowany na przełamanie zabezpieczeń systemu teleinformatycznego. Umożliwia on wykrycie luk w systemie bezpieczeństwa, z których mogą skorzystać osoby atakujące[1]. Testy penetracyjne są wykonywane przez testerów lub pentesterów[2] .
Celem testów penetracyjnych jest przetestowanie solidność polityki bezpieczeństwa firmy, jej zgodności z przepisami, świadomości bezpieczeństwa pracowników oraz zdolności firmy do identyfikowania i reagowania na problemy i incydenty powiązane z bezpieczeństwem[3].
Testy penetracyjne składają się z testów manualnych, bardziej wyrafinowanych wykonywanych przez testerów jak i automatycznych za które odpowiedzialny jest algorytm.
Testy penetracyjne są wykonywane na[4]:
1. infrastrukturze wewnętrznej i zewnętrznej sieci firmy, a w szczególności poprzez:
- obchodzenie systemów ochrony punktów końcowych,
- wykrywanie starszych urządzeń i urządzeń innych firm,
- kradzież danych uwierzytelniających,
- przechwytywanie ruchu sieciowego,
- testowanie routerów,
- wykorzystywanie usług sieciowych,
2. aplikacjach internetowych używanych przez firmę, a w szczególności poprzez:
- wstrzykiwanie SQL,
- wykonywanie skryptów międzylokacyjnych,
- wyszukiwanie słabej kryptografi,
- niezabezpieczone uwierzytelnienia aplikacji,
3. sieci bezprzewodowej firmy, a w szczególności poprzez wykrycie:
- słabych uwierzytelnień sieci,
- niezabezpieczonych konfiguracji sieci,
- podatnych protokołów, umożliwiających uzyskanie dostępu do atakowanej sieci przewodowej spoza budynku,
- użytkowania urządzeń mobilnych w otwartych, niezabezpieczonych sieciach,
4. pracownikach firmy, a w szczególności poprzez:
- phishing,
5. fizyczne bezpieczeństwo firmy, a w szczególności poprzez:
- uzyskanie dostępu do budynku,
- znalezienie danych uwierzytelniających wykorzystywanych do złamania haseł,
- znalezienie wyrzuconych dokumentów,
- umieszczenie ukrytych podsłuchów w celu uzyskania danych do dostępu do wewnętrznej sieci firmy.
Etapy testów penetracyjnych[5]:
- przyjęcie zlecenia od firmy, chcącej sprawdzić istnienie potencjalnych podatności w swoich systemach bezpieczeństwa,
- gromadzenie danych i informacji w celu zaplanowania symulowanego ataku,
- uzyskanie i utrzymanie dostępu do systemu docelowego z zastosowaniem szerokiego spektrum narzędzi zaprojektowanych do ataków typu brute-force, wstrzyknięcia SQL, socjotechnik czy specjalnego sprzętu, który po podłączeniu do komputera znajdującego się w sieci zapewnia testerowi dostęp do tej sieci,
- zacieranie śladów i pozostawienie systemu docelowego w stanie jakim go zastano,
- przygotowanie raportu i poinformowanie zespołu ds. bezpieczeństwa testowanej firmy o lukach w systemie wraz z propozycjami sposobów uśnięcia wykrytych luk w trakcie testów penetracyjnych.
Cyberataki są coraz bardziej wyrafinowane i zwiększa się ich liczba, dlatego istotne jest aby firmy przeprowadzały regularne testy penetracyjne w celu identyfikacji zagrożeń i blokowania luk. Regularnie przeprowadzane testy pomagają firmom przyjąć proaktywną postawę w poszukiwaniu słabych punktów w swojej infrastrukturze, aplikacjach i w działaniach pracowników[6].
Nowelizacja Kodeksu Karnego z 11 kwietnia 2017 liberalizuje tak zwane „paragrafy hakerskie” (to jest artykuły od 267 do 269b) uzupełniając je o tak zwane kontratypy i czyniąc działalność testerów zabezpieczeń legalną.
[J. Piotrowska]
[1] Osoby podejmujące wszelkie nieautoryzowane próby hakerskie, bez zgody i wiedzy atakowanej firmy. Takie próby są nielegalne. Takie osoby są nazywane hakerami lub Black Hats.
[2] Osoby podejmujące wszelkie autoryzowane symulacje cyberataku, za wiedzą i zgodą atakowanej firmy. Takie próby są legalne. Takie osoby są nazywane etycznymi hakerami lub White Hats.
[3] https://www.contrastsecurity.com/knowledge-hub/glossary/penetration-testing.
[4] https://www.cisco.com/c/en/us/products/security/what-is-pen-testing.html.
[5] https://www.cloudflare.com/learning/security/glossary/what-is-penetration-testing.
[6] https://www.contrastsecurity.com/knowledge-hub/glossary/penetration-testing.