Test penetracyjny to kontrolowany atak techniczno-informatyczny lub socjopsychologiczny skierowany na przełamanie zabezpieczeń systemu teleinformatycznego.  Umożliwia on wykrycie luk w systemie bezpieczeństwa, z których mogą skorzystać osoby atakujące[1]. Testy penetracyjne są wykonywane przez testerów lub pentesterów[2] .

Celem testów penetracyjnych jest przetestowanie solidność polityki bezpieczeństwa firmy, jej zgodności z przepisami, świadomości bezpieczeństwa pracowników oraz zdolności firmy do identyfikowania i reagowania na problemy i incydenty powiązane z bezpieczeństwem[3].

Testy penetracyjne składają się z testów manualnych, bardziej wyrafinowanych wykonywanych przez testerów jak i automatycznych za które odpowiedzialny jest algorytm.

 Testy penetracyjne są wykonywane na[4]:

1. infrastrukturze wewnętrznej i zewnętrznej sieci firmy, a w szczególności poprzez:

- obchodzenie systemów ochrony punktów końcowych,

- wykrywanie starszych urządzeń i urządzeń innych firm,

- kradzież danych uwierzytelniających,

- przechwytywanie ruchu sieciowego,

- testowanie routerów,

- wykorzystywanie usług sieciowych,

2. aplikacjach internetowych używanych przez firmę, a w szczególności poprzez:

- wstrzykiwanie SQL,

- wykonywanie skryptów międzylokacyjnych,

- wyszukiwanie słabej kryptografi,

- niezabezpieczone uwierzytelnienia aplikacji,

3. sieci bezprzewodowej firmy, a w szczególności poprzez wykrycie:

- słabych uwierzytelnień sieci,

- niezabezpieczonych konfiguracji sieci,

- podatnych protokołów, umożliwiających uzyskanie dostępu do atakowanej sieci przewodowej spoza budynku,

- użytkowania urządzeń mobilnych w otwartych, niezabezpieczonych sieciach,

4. pracownikach firmy, a w szczególności poprzez:

- phishing,

5. fizyczne bezpieczeństwo firmy, a w szczególności poprzez:

- uzyskanie dostępu do budynku,

- znalezienie danych uwierzytelniających wykorzystywanych do złamania haseł,

- znalezienie wyrzuconych dokumentów,

- umieszczenie ukrytych podsłuchów w celu uzyskania danych do dostępu do wewnętrznej sieci firmy.

Etapy testów penetracyjnych[5]:

  1. przyjęcie zlecenia od firmy, chcącej sprawdzić istnienie potencjalnych podatności w swoich systemach bezpieczeństwa,
  2. gromadzenie danych i informacji w celu zaplanowania symulowanego ataku,
  3. uzyskanie i utrzymanie dostępu do systemu docelowego z zastosowaniem szerokiego spektrum narzędzi zaprojektowanych do ataków typu brute-force, wstrzyknięcia SQL, socjotechnik czy specjalnego sprzętu, który po podłączeniu do komputera znajdującego się w sieci zapewnia testerowi dostęp do tej sieci,
  4. zacieranie śladów i pozostawienie systemu docelowego w stanie jakim go zastano,
  5. przygotowanie raportu i poinformowanie zespołu ds. bezpieczeństwa testowanej firmy o lukach w systemie wraz z propozycjami sposobów uśnięcia wykrytych luk w trakcie testów penetracyjnych.

Cyberataki są coraz bardziej wyrafinowane i zwiększa się ich liczba, dlatego istotne jest aby firmy przeprowadzały regularne testy penetracyjne w celu identyfikacji zagrożeń i blokowania luk.  Regularnie przeprowadzane testy pomagają firmom przyjąć proaktywną postawę w poszukiwaniu słabych punktów w swojej infrastrukturze, aplikacjach i w działaniach pracowników[6].

Nowelizacja Kodeksu Karnego z 11 kwietnia 2017 liberalizuje tak zwane „paragrafy hakerskie” (to jest artykuły od 267 do 269b) uzupełniając je o tak zwane kontratypy i czyniąc działalność testerów zabezpieczeń legalną.

 

[J. Piotrowska]

 

[1] Osoby podejmujące wszelkie nieautoryzowane próby hakerskie, bez zgody i wiedzy atakowanej firmy.  Takie próby są nielegalne. Takie osoby są nazywane hakerami lub Black Hats.

[2] Osoby podejmujące wszelkie autoryzowane symulacje cyberataku, za wiedzą i zgodą atakowanej firmy. Takie próby są legalne. Takie osoby są nazywane etycznymi hakerami lub White Hats.

[3] https://www.contrastsecurity.com/knowledge-hub/glossary/penetration-testing.

[4] https://www.cisco.com/c/en/us/products/security/what-is-pen-testing.html.

[5] https://www.cloudflare.com/learning/security/glossary/what-is-penetration-testing.

[6] https://www.contrastsecurity.com/knowledge-hub/glossary/penetration-testing.