PENTESTY: szukamy dziur w systemie informatycznym
- Patryk Królikowski,
- 18.02.2013
Popularność testów penetracyjnych wcale nie spada. Organizacje stale je przeprowadzają bądź to własnymi siłami, bądź korzystając z usług firm zewnętrznych. Wydaje się, że dzięki dużej liczbie publicznie dostępnych publikacji i najlepszych praktyk, metodologia prowadzenia pentestów powinna być zbliżona i ugruntowana.
Niestety, jak pokazują doświadczenia, na polskim rynku funkcjonuje wiele firm, których rzetelność i jakość usług pozostawia sporo do życzenia. Mimo to znajdują klientów - za sprawą bardzo niskich stawek - co potem może (i zwykle tak jest) odbić się czkawką. Przypomnijmy zatem podstawowe zasady prowadzenia testów penetracyjnych, a przede wszystkim zaprezentujmy ciekawe i przydatne narzędzia.
Co się zmieniło?
Ostatnie duże omówienie testów penetracyjnych zamieściliśmy w "Networldzie" informatyczne lata świetlne temu, bo w roku 2006. Co uległo zmianie od tego czasu? Zacznijmy od podstaw. W dalszym ciągu mamy do czynienia z trzema głównymi rodzajami testów penetracyjnych: white (ze znajomością badanego środowiska), black (bez znajomości badanego środowiska) i grey (na pograniczu poprzednich - częściowa znajomość badanego środowiska). W podziale fazowym testów również nie ma jakichś dramatycznych zmian (zob. rysunek)
Fazy testów penetracyjnych
Od strony metodologicznej pojawiła się garść nowych lub unowocześnionych pozycji. Wśród nich całkiem interesujące opracowanie tematu przez znaną wszystkim specjalistom od bezpieczeństwa organizację NIST, w postaci SP 800-115 "Technical guide to information security testing and assesment". Na 80 stronach w sposób skondensowany podano informacje, które pozwolą zorientować się w najważniejszych aspektach pentestów. Mamy też dość nową metodologię Open Source Security Testing Methodology Manual - obecnie wersja 3. Dostępna jest również wersja 3 metodologii testów aplikacji webowych OWASP Testing Guide. Do dyspozycji jest też Penetration Testing Framework (PTF), obecnie w wersji 0.59.
Jest ponadto przydatna na etapie rekonesansu stale rozwijana koncepcja wywiadowcza OSINT - Open-source Intelligence (Open-source nie ma tutaj nic wspólnego z wolnym oprogramowaniem).