Penetrationstest på Webapplikationer
Med denne artikel vil jeg undersøge begrebet penetrationstest og hvad det indebærer. Den vil også komme ind på de etiske overvejelser for hvorfor man bør udføre penetrationstest. Jeg vil derudover også berøre forskellen på en lovlig og ulovlig penetrationstest.
Denne artikel er udelukkende til undervisningsbrug for at gennemgå helt overordnet hvad en pentest indeholder.
Udførsel af nedenstående er på eget ansvar og kan være ulovligt uden en forgående meget klar aftale.
Introduktion
Jeg har valgt at undersøge pensetrationtest (pentest) begrebet nærmere, da det er en af mine helt store interesser indenfor it-sikkerheds feltet. Pentest kan både foregå via en computer eller andet device såvel som fysisk. Større virksomheder har ofte interresse i at teste begge dele, da det ene ofte er afhængigt af det andet. Mærsk kunne være et godt eksempel på en type af virksomhed, som kunne gavne af en pentest. I meget korte træk er en pentest en test som udføres for at få et indblik/overblik over virksomhedens gennerelle sikkerhed.
Definition af penetrationstest (pentest)
En online penetrationstest, er en autoriseret simulering af et cyberangreb på en webapplikation for at identificere sikkerhedssårbarheder under kontrollerede forhold. Der er en meget klar streg i sandet som adskiller ulovlige angreb med en helt legal penetrationstest. Forskellen ligger i det forberedende arbejde, altså aftalen der indgåes med virksomheden der ønsker denne test foretaget, aftalen er alt afgørende for denne test.
En fysisk pentest er umiddelbart det samme som en online, forskellen ligger blot i, at det er den fysiske sikkerhed som testes. Det kan f.eks. være hvor sikker deres hovedindgang er, hvor sikre deres låsemekanisme er, og hvor godt beskyttet deres data er på serveren/serverne.
Formålet med en pentest
Formålet med en pentest er at vurdere sikkerheden af en virkesomhed ved at identificere sårbarheder, der kan udnyttes af ondsindede aktører. Når en professionel pentester har udført sit arbejde og fået et overblik over virksomhedens sikkerhedssituation, udmynder dette i en grundig og fyldestgørende rapport. Denne rapport beskriver alle de sikkerhedshuller der er/kan være og som bør tages højde for. Det er herefter virksomhedens eget ansvar, at foretage de sikkerhedsforanstaltninger som rapporten forelægger.
Værdien af pentests for virksomheder
Eksempler på hvordan pentest skaber værdi:
- Forhindre sikkerhedsbrud
- Beskytte følsomme data
- Overholde lovgivningsmæssige krav
- Forbedre virksomhedens omdømme
- Øge kundernes tillid
Pentest Processen
Først og fremmest skal der laves en klar aftale med virksomheden, denne del af processen kaldes også for pre-engagement. Denne aftale skal indeholde kundens ønsker, forventninger og formål med testen. Der skal skabes et helt klart "why", hvad og hvorfor denne test. Derudover skal der også sættes nogle tydelige grænser fra kundens side, både etiske og juridiske overvejelser skal tages i betragtning her.
Næste step i processen handler om at indsamle de nødvendige informationer, denne del af processen kaldes også for discovery. Her kan både benyttes passive metoder (OSINT), som betsår af offentlige tilgængelige kilder. Derudover kan man benytte aktive scanninger som f.eks. Nmap og WhatWeb, som er direkte interaktioner med målet.
Når dataen er indsamlet og der er bygget et overblik over dette, så laves det man kalder for en Vulnerability assessment. Her bruges dataen fra før, og det klarlægges hvilke sårbarheder som er vigtige for denne test. Det kan bl.a. være at en networkscanning viser, at der findes en unødig åben port eller tjeneste.
Når disse sårbarheder er klarlagt, starter selve testen af systemerne, også kaldet Exploitation. Her forsøger man at udnytte de funde sårbarheder. Det kan være via. injection attacks, altså f.eks. ondindet SQL kode indsprøjtninger. Eller test af adgangsbegrænsninger som login mekanismer. For yderligere at teste sårbarhederne kan man også foretage en post-exploitment. Her kan man f.eks. forsøge at opnå højere adgangsniveauer eller udføre uønsket dataudtrækning.
Alt dette arbejder udmynder i en fyldestgørende rapport over de indsigter og fund som er gjort i virksomhedens fysiske såvel online sikkerhed.