Penetration Testing je ovlašteni simulirani cyber napad na računalo, namijenjen procjeni sigurnosti sustava. Testiranje se provodi kako bi se identificirale sve slabosti (također poznate kao ranjivosti), uključujući mogućnost da neovlaštene strane pristupe značajkama i podacima sustava, kao i prednosti koje neovlaštenim stranama dopuštaju pristup značajkama i podacima sustava.procjena rizika na razini cijelog sustava.
Što je penetracijsko testiranje?
Penetracijsko testiranje, također poznato kao testiranje olovkom, pentest ili etičko hakiranje, je simulirani napad na računalni sustav radi testiranja ranjivosti koje se mogu iskoristiti. U sigurnosti web aplikacija, Penetration Testing se često koristi za jačanje vatrozida web aplikacija (Web Application Firewall - WAF).
Testiranje olovke može uključivati pokušaj probijanja bilo kojeg broja aplikacijskih sustava (npr. sučelja aplikacijskog protokola - API-ja, frontend/backend poslužitelja) kako bi se otkrile ranjivosti, ranjivosti, kao što je nepotvrđeni unos koji je ranjiv na ubacivanje zlonamjernog koda.
Uvidi dobiveni penetracijskim testiranjem mogu se koristiti za doradu sigurnosnih politika WAF-a i zakrpe otkrivenih ranjivosti.
Proces testiranja olovke može se podijeliti u 5 faza.
U prvoj fazi penetracijskog testiranja i bug bounty testiranja, ispitivači moraju prikupiti informacije o ciljnom sustavu. Budući da postoji dosta metoda napada i testiranja, ispitivači penetracije moraju odrediti prioritete na temelju prikupljenih informacija kako bi odredili najprikladniju metodu.
Ovaj korak uključuje izdvajanje vrijednih detalja o infrastrukturi ciljnog sustava, kao što su nazivi domena, mrežni blokovi, usmjerivači i IP adrese unutar njegovog opsega. Osim toga, moraju se prikupiti sve relevantne informacije koje bi mogle poboljšati uspjeh napada, poput podataka o zaposlenicima i telefonskih brojeva.
Podaci dobiveni iz otvorenih izvora u ovom razdoblju mogu dati iznenađujuće važne detalje. Kako bi to postigli, hakeri s bijelim šeširom moraju iskoristiti različite izvore, s posebnim naglaskom na web stranicu ciljne organizacije i platforme društvenih medija. Pedantnim prikupljanjem ovih informacija, testeri će postaviti temelje za uspješnu akciju dodjele nagrada za bugove.
Međutim, većina organizacija nameće drugačija pravila testerima penetracije tijekom procesa dodjele nagrada za bugove. S pravnog gledišta nužno je ne odstupiti od ovih pravila.
Tester penetracije otkrit će koji su aktivni i pasivni uređaji aktivni unutar IP raspona, što se obično radi pasivnim prikupljanjem tijekom bug bounty-a. Uz pomoć informacija dobivenih tijekom ovog procesa pasivnog prikupljanja, pentester mora odrediti svoj put - treba odrediti prioritete i točno odrediti koji su testovi potrebni.
Tijekom tog razdoblja hakeri ne mogu izbjeći dobivanje informacija o operativnom sustavu, otvorenim portovima i uslugama kao i informacije o njihovoj verziji na živim sustavima.
Osim toga, ako organizacija zakonski zatraži da se testerima penetracije dopusti praćenje mrežnog prometa, tada se kritične informacije o infrastrukturi sustava mogu prikupiti, barem onoliko koliko je to moguće. Međutim, većina organizacija ne želi dati ovo dopuštenje. U takvoj situaciji ispitivač penetracije ne smije ići izvan pravila.
U ovoj fazi, tester penetracije, nakon što je otkrio kako će ciljna aplikacija reagirati na različite pokušaje upada, pokušava uspostaviti radne veze sa sustavima koje detektira, aktivan je i pokušava ispuniti izravne zahtjeve. Drugim riječima, ovo je faza u kojoj haker s bijelim šeširom komunicira s ciljnim sustavom učinkovito koristeći usluge kao što su FTP, Netcat i Telnet.
Unatoč neuspjehu u ovoj fazi, ovdje je glavna svrha provjeriti podatke dobivene tijekom koraka prikupljanja informacija i voditi bilješke.
Faza napada penetracijskog testiranja
Ispitivači penetracije prikupljaju sve podatke prikupljene u prethodnim procesima za jedan cilj: pokušajte dobiti pristup ciljnom sustavu na isti način na koji bi to učinio pravi, zlonamjerni haker. Zbog toga je ovaj korak tako važan. Jer kada sudjeluju u programima za dodjelu grešaka, ispitivači penetracije trebali bi razmišljati kao pravi hakeri.
U ovoj fazi, tester penetracije pokušava prodrijeti u sustav, koristeći operativni sustav koji radi na ciljnom sustavu, otvorene portove i usluge koje služe na tim portovima, kao i moguća iskorištavanja koja mogu biti primjenjiva ovisno o njihovoj verziji. Budući da se web portali i aplikacije sastoje od puno koda i mnogo biblioteka, zlonamjerni hakeri imaju veći doseg za napad. U tom smislu, dobar tester penetracije trebao bi razmotriti sve mogućnosti i primijeniti sve moguće vektore napada dopuštene pravilima.
Za to je potrebna ozbiljna stručnost i iskustvo kako bi se mogli uspješno i fleksibilno koristiti postojeći exploiti, bez oštećenja sustava i bez ostavljanja ikakvih tragova prilikom preuzimanja sustava. Stoga je ova faza penetracijskog testiranja najvažniji korak.
Snagu sustava određuje njegova najslabija karika. Ako haker s bijelim šeširom dobije pristup sustavu, obično se prijavljuje u sustav kao korisnik s niskim ovlastima. U ovoj fazi, testeri penetracije moraju imati administratorska prava, iskorištavajući ranjivosti u operativnom sustavu ili okruženju.
Zatim će težiti preuzimanju drugih uređaja u mrežnom okruženju koristeći dodatne privilegije koje su stekli i na kraju korisničke privilegije najviše razine kao što su administrator domene ili administrator baze podataka.
Testeri penetracije izvještavaju o rezultatima traženja grešaka i primaju nagrade
Nakon što se dovrše koraci testiranja prodora i dodjele bugova, ispitivač prodora ili lovac na bugove mora predstaviti sigurnosne ranjivosti koje je otkrio u ciljnom sustavu, sljedeće korake i kako mogu iskoristiti te ranjivosti za organizaciju s detaljnim izvješćem. To bi trebalo uključivati informacije kao što su snimke zaslona, uzorak koda, faze napada i kako se ova ranjivost može pojaviti.
Završno izvješće također mora sadržavati preporuke rješenja o tome kako zatvoriti svaku sigurnosnu ranjivost. Osjetljivost i neovisnost penetracijskih testova ostaju misterij. Bijeli hakeri nikada ne bi smjeli dijeliti povjerljive informacije dobivene u ovoj fazi i nikada ne bi trebali zlorabiti te informacije davanjem lažnih informacija, jer je to obično protuzakonito.
Eksterno testiranje penetracije cilja na "imovinu" tvrtke koja je vidljiva na Internetu, kao što je sama web aplikacija, web stranica tvrtke, e-pošta i poslužitelji imena domena (DNS) . Cilj je dobiti pristup i izvući vrijedne podatke.
U testiranju insajderskog prodora, tester s pristupom aplikaciji iza vatrozida simulira napad insajdera. Ovaj napad ne samo da upozorava na mogućnost da bi interni zaposlenik mogao biti haker, već također podsjeća administratore da spriječe da zaposlenik u organizaciji dobije podatke za prijavu nakon phishing napada .
U slijepom testu, tester dobiva samo naziv ciljane tvrtke. To daje sigurnosnom osoblju uvid u stvarnom vremenu kako bi se napad aplikacije odigrao u praksi.
U dvostruko slijepom testu, službenik za sigurnost nema prethodnog znanja o napadu koji se simulira. Baš kao u stvarnom svijetu, nije uvijek moguće unaprijed znati napade kako bi se poboljšala obrana.
U ovom scenariju, i ispitivač i službenik za sigurnost radit će zajedno i kontinuirano ocjenjivati postupke onog drugog. Ovo je vrijedna vježba obuke koja sigurnosnom timu pruža povratne informacije u stvarnom vremenu iz hakerske perspektive.
Testiranje prodora i WAF neovisne su sigurnosne mjere, ali pružaju komplementarne prednosti.
Za mnoge vrste testiranja olovkom (osim slijepog i dvostruko slijepog testiranja), ispitivači mogu koristiti podatke WAF-a, kao što su zapisi, za lociranje i iskorištavanje slabosti aplikacije.
S druge strane, WAF administratori mogu imati koristi od podataka testa olovke. Nakon što je testiranje završeno, WAF konfiguracija se može ažurirati kako bi se zaštitila od slabosti otkrivenih tijekom testiranja.
Naposljetku, testiranje olovke ispunjava brojne zahtjeve usklađenosti sa sigurnosnim testiranjem, uključujući PCI DSS i SOC 2. Neki standardi, poput PCI-DSS 6.6, mogu se zadovoljiti samo upotrebom certificiranog WAF-a.
Bijeli šeširi hakeri koriste testiranje olovkom za pronalaženje pogrešaka i ranjivosti
Etičko hakiranje nije posao koji zahtijeva samo vještine. Većina hakera s bijelim šeširom (etičkih hakera) koristi specijalizirane operativne sustave i softver kako bi si olakšali rad, izbjegavajući ručne pogreške.
Dakle, za što ti hakeri koriste testiranje olovkom? Dolje je nekoliko primjera.
Parrot Security je operativni sustav temeljen na Linuxu dizajniran za testiranje penetracije i procjenu ranjivosti. Prilagođen je oblaku, jednostavan za korištenje i podržava različit softver otvorenog koda.
Također kao operativni sustav Linux, Live Hacking je prikladan izbor za one koji rade pentestiranje, jer je lagan i ne zahtijeva visok hardver. Live Hacking dolazi unaprijed zapakiran s alatima i softverom za testiranje prodora i etičko hakiranje.
Nmap je obavještajni alat otvorenog koda (OSINT) koji nadzire mreže, prikuplja i analizira podatke o hostovima uređaja i poslužiteljima, što ga čini vrijednim za crne, sive i bijele hakere.
Nmap je također višeplatformski i radi s Linuxom, Windowsima i macOS-om, pa je idealan za etičke hakere početnike.
WebShag je također OSINT alat. Ovo je alat za testiranje sustava koji skenira HTTPS i HTTP protokole i prikuplja relativne podatke i informacije. Koriste ga etički hakeri za izvođenje vanjskih testova prodora putem javnih web stranica.
Testiranje vlastite mreže olovkom nije najbolja opcija jer možda niste prikupili dovoljno detaljnog znanja o njoj, što vam otežava kreativno razmišljanje i pronalaženje skrivenih ranjivosti. Trebali biste angažirati neovisnog hakera s bijelim šeširom ili usluge tvrtke koja pruža usluge testiranja olovke.
Međutim, angažiranje vanjskih osoba da hakiraju vašu mrežu može biti vrlo riskantno, osobito ako im dajete povjerljive informacije ili interni pristup. Zbog toga biste trebali koristiti pouzdane treće strane. Evo nekoliko prijedloga za vašu referencu:
HackerOne je tvrtka sa sjedištem u San Franciscu koja pruža usluge testiranja penetracije, procjene ranjivosti i usklađenosti protokola.
Smješten u Teksasu, ScienceSoft pruža usluge procjene ranjivosti, testiranja olovke, usklađenosti i testiranja infrastrukture.
Sa sjedištem u Atlanti, Georgia, Raxis pruža vrijedne usluge od testiranja olovke i pregleda sigurnosnih kodova do obuke za odgovor na incidente, procjene ranjivosti i obuke za sprječavanje napada društvenim inženjeringom .
Zeleno je također tema koju mnogi fotografi i dizajneri koriste za izradu setova tapeta s glavnim tonom zelene boje. Ispod je set zelenih pozadina za računala i telefone.
Kaže se da je ova metoda pretraživanja i otvaranja datoteka brža od korištenja File Explorera.
Scareware je zlonamjerni računalni program osmišljen kako bi prevario korisnike da misle da je to legitimna aplikacija i traži od vas da potrošite novac na nešto što ne radi ništa.
cFosSpeed je softver koji povećava brzinu internetske veze, smanjuje latenciju prijenosa i povećava snagu veze do otprilike 3 puta. Osobito za one koji igraju online igre, cFosSpeed će podržati kako biste mogli iskusiti igru bez ikakvih problema s mrežom.
Vatrozid za Windows s naprednom sigurnošću je vatrozid koji radi na Windows Serveru 2012 i omogućen je prema zadanim postavkama. Postavkama vatrozida u sustavu Windows Server 2012 upravlja se u Windows Firewall Microsoft Management Console.
Prilikom promjene lozinke administratorske stranice za prijavu modema i usmjerivača Vigor Draytek, korisnici će ograničiti neovlašteni pristup za promjenu lozinke modema, osiguravajući važne informacije o mreži.
Srećom, korisnici Windows računala s AMD Ryzen procesorima mogu koristiti Ryzen Master za jednostavno overclockiranje RAM-a bez diranja BIOS-a.
USB-C priključak postao je standard za prijenos podataka, video izlaz i punjenje na modernim Windows prijenosnim računalima. Iako je to zgodno, može biti frustrirajuće kada prijenosno računalo priključite na USB-C punjač, a ono se ne puni.
Pogreška Cannot Create Service na Ultravieweru javlja se kada instaliramo softver s kodom pogreške 1072.
Pogreška neprikazivanja ID-a na Ultravieweru utjecat će na vezu s udaljenim računalom.
