Ce înseamnă ethical hacking şi ce implică un test de penetrare

Necesare în contextul unui audit de securitate, a obţinerii certificării ISO 270001 sau a respectării unor reglementări specifice, testele de penetrare nu au un cadru legislativ clar. Utilitatea acestora este însă indiscutabilă, atât din motivele amintite anterior, cât mai ales pentru identificarea vulnerabilităților reale ale unui sistem de Securitate IT sau ale unor aplicaţii şi pentru adoptarea măsurilor necesare de optimizare.

În esenţă, un test de penetrare, asociat în general termenului ethical hacking, este un atac cibernetic simulat împotriva unui sistem/ unei aplicaţii pentru evaluarea nivelului de securitate. Pentru a nu cădea sub incidenţa articolului 360 din Codul penal (care sancționează accesul fără drept la un sistem informatic) alături de partenerii noştri de la Dataeye Consulting, derulăm astfel de teste cu mandat explicit din partea beneficiarilor. Asumat de client, mandatul specifică perioada de desfășurare a testelor şi ce aplicaţii, funcționalități şi componente sunt permise sau nu în cadrul misiunii de testare. O astfel de misiune include 10 - 20 de ore de testare şi are mai multe etape:

• Planificare şi recunoaştere. Definim obiectivul testului, colectăm informaţii şi stabilim metoda de test
• Scanare. Expunem sistemul sau aplicaţia ţintă la încercări de intruziune pentru a estima forma de răspuns
• Obţinere acces. Folosim diverse forme de atacuri pentru a exploata vulnerabilităţile ţintei, pe termen lung sau scurt
• Analiză. Rezultatele testului sunt sintetizate într-un raport care conţine: vulnerabilităţile identificate şi exploatate, datele accesate, timpul până la detecţie etc.

Aceste informații ajung la echipa IT a beneficiarului pentru a permite o mai bună configurare a soluţiilor de securitate, optimizarea întregii arhitecturi sau eliminarea vulnerabilităţilor identificate. Derularea unui test de penetrare poate fi o componentă a unui audit de securitate. Despre acest subiect citiţi şi „Auditul de securitate, un control de sănătate necesar oricărei companii”. 

Moduri de derulare a unui test de penetrare

Există mai multe metode de derulare a unui test de penetrare, alegerea celei mai potrivite fiind în funcţie de specificul beneficiarului şi de obiectivele fiecărei misiuni.

• Testare externă – vizează resursele vizibile din internet (aplicaţii web, site-uri web, servere de e-mail, etc)
• Testare internă – simulează în general acţiuni bazate pe furtul de credenţiale
• Test orb – atacul simulat nu are un obiectiv anume ci doar urmăreşte să ofere echipei de securitate a beneficiarului un scenariu de lucru în timp real
• Test dublu orb – într-un astfel de test, echipa de securitate a clientului nu este informată, se testează capacitatea reală de reacţie
• Test de training – echipa de test şi responsabili de securitate ai clientului lucrează împreună pentru a analiza situaţia şi a concepe un plan de răspuns

Prin obiectivele asumate, misiunile pe care le derulăm împreună cu Dataeye pot fi în general grupate în două categorii:

Whitebox

• Scanare adrese IP publice;
• Scanare URL-uri aplicație;
• Colectare de informații din surse publice (DNS, Google, etc);
• Scanare porturi și mapare servicii;
• Teste de conectare la serviciile publicate în mod neautentificat sau folosind credențiale default;
• Nu efectuăm teste de tip DOS/DDOS.

Blackbox

• Teste de tip injecție SQL și/sau cod și/sau fișiere în aplicație;
• Manipulare a câmpurilor și a variabilelor predefinite în cadrul aplicației;
• Manipulare a sesiunilor și a cookie-urilor sau a URL-urilor aplicației;
• Teste de execuție neautorizată sau acces neautorizat pentru rolul utilizatorului autentificat;
• Necesită operațiuni de testare manuală intensivă.

După cum spuneam, o misiune standard implică 10 până la 20 de ore de testare, însă realitatea arată că hackerii depun un efort mult mai intens, atât ca timp cât şi ca operaţiuni derulate, pentru a obţine rezultatele care îi interesează. De aceea, de cele mai multe ori, echipamentele şi soluțiile de securitate (firewall, IPS, WAF) nu sunt suficiente pentru a opri un atacator. Scanarea periodică a vulnerabilităților are rezultate bune şi trebuie efectuată cel puţin o dată pe an. Testele de penetrare simulează potențialele atacuri, de la hackeri la angajați nemulțumiți şi pot detecta riscurile reale asociate sistemelor informatice, înainte ca acestea să poate fi exploatate.
Important de menționat este că Pras Consulting derulează aceste actiuni împreună cu Dataeye Consulting, care deține toate acreditările necesare pentru a efectua Audit IT și Teste de Penetrare. Un test de penetrare nu poate fi derulat în lipsa acestor acreditari şi a mandatului din partea beneficiarului.