PENTESTY: szukamy dziur w systemie informatycznym
- Patryk Królikowski,
- 18.02.2013
Popularność testów penetracyjnych wcale nie spada. Organizacje stale je przeprowadzają bądź to własnymi siłami, bądź korzystając z usług firm zewnętrznych. Wydaje się, że dzięki dużej liczbie publicznie dostępnych publikacji i najlepszych praktyk, metodologia prowadzenia pentestów powinna być zbliżona i ugruntowana.
Niestety, jak pokazują doświadczenia, na polskim rynku funkcjonuje wiele firm, których rzetelność i jakość usług pozostawia sporo do życzenia. Mimo to znajdują klientów - za sprawą bardzo niskich stawek - co potem może (i zwykle tak jest) odbić się czkawką. Przypomnijmy zatem podstawowe zasady prowadzenia testów penetracyjnych, a przede wszystkim zaprezentujmy ciekawe i przydatne narzędzia.
Co się zmieniło?
Ostatnie duże omówienie testów penetracyjnych zamieściliśmy w "Networldzie" informatyczne lata świetlne temu, bo w roku 2006. Co uległo zmianie od tego czasu? Zacznijmy od podstaw. W dalszym ciągu mamy do czynienia z trzema głównymi rodzajami testów penetracyjnych: white (ze znajomością badanego środowiska), black (bez znajomości badanego środowiska) i grey (na pograniczu poprzednich - częściowa znajomość badanego środowiska). W podziale fazowym testów również nie ma jakichś dramatycznych zmian (zob. rysunek)
Czy więc w ogóle coś uległo zmianie? Zmiany zaszły zarówno od strony narzędziowej, jak i doprecyzowania metodologicznego. Na przykład zaczęto lansować politycznie poprawne pojęcia, takie jak chociażby etyczny hacking, podczas gdy wcześniej mówiono o tzw. white hat hackers. To niemalże od razu spotkało się z krytyką, a niektórzy posunęli się do daleko idących porównań, że to tak, jakby mówić o etycznym gwałcicielu. Z drugiej jednak strony istnieje pewna subtelna różnica pomiędzy włamywaniem się w celu wyrządzenia komuś krzywdy, a robieniem tego, by podnieść poziom bezpieczeństwa organizacji (wykryta podatność -> usunięcie). Swoją drogą wprowadzenie pojęcia Ethical Hacker ułatwiło stworzenie certyfikatu CEH (Certified Ethical Hacker), bo przecież nie wypada poświadczać, że ktoś wie jak się włamywać. Pozostawmy jednak nomenklaturę z boku.
Od strony metodologicznej pojawiła się garść nowych lub unowocześnionych pozycji. Wśród nich całkiem interesujące opracowanie tematu przez znaną wszystkim specjalistom od bezpieczeństwa organizację NIST, w postaci SP 800-115 "Technical guide to information security testing and assesment". Na 80 stronach w sposób skondensowany podano informacje, które pozwolą zorientować się w najważniejszych aspektach pentestów. Mamy też dość nową metodologię Open Source Security Testing Methodology Manual - obecnie wersja 3. Dostępna jest również wersja 3 metodologii testów aplikacji webowych OWASP Testing Guide. Do dyspozycji jest też Penetration Testing Framework (PTF), obecnie w wersji 0.59.
Jest ponadto przydatna na etapie rekonesansu stale rozwijana koncepcja wywiadowcza OSINT - Open-source Intelligence (Open-source nie ma tutaj nic wspólnego z wolnym oprogramowaniem).