Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Testy penetracyjne

14-09-2018 Autor: Jarosław Rowiński

Testy penetracyjne są jedną z najskuteczniejszych metod wykrywania słabości i błędów bezpieczeństwa infrastruktury teleinformatycznej, są zachowaniem tak bliskim realnym atakom, jak to tylko możliwe. Oczywiście zawsze może zdarzyć się, że „nielegalny” atakujący wykorzysta podatność, której tester nie znał. Ciągle jednak jest to najbliższy rzeczywistemu atakowi test, jaki jesteśmy w stanie uzyskać.

 

Te same narzędzia i metody, których używa się do przełamywania zabezpieczeń, wykorzystywania błędów i słabości aplikacji, testy penetracyjne wykorzystują do sprawdzania poziomu bezpieczeństwa środowiska IT. Mogą one przybrać najróżniejsze formy: od skanu wykonanego za pomocą zautomatyzowanych narzędzi do testów, aż do w pełni rozwiniętego ataku, wykorzystującego techniki informatyczne i tzw. social ha­cking w celu odnalezienia słabości w bezpieczeństwie organizacji.

Prawne kontrowersje związane z testami penetracyjnymi

Przez długi czas prawny status testów penetracyjnych był niejasny. Na podstawie art. 269b ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (dalej: kk) sam fakt wytwarzania i przekazywania narzędzi do przełamywania zabezpieczeń komputerowych był ścigany z urzędu. Dotyczyło to także testów penetracyjnych − ze względu na stosowane w nich narzędzia i metody (takie same jak w przypadku faktycznych ataków) oraz zachowania polegające na próbach przełamania zabezpieczeń systemów informatycznych. Przypadki ścigania testerów za wykonywane testy nie miały dotąd miejsca z uwagi na fakt, że w takich sytuacjach wykrycie ataku występuje zwykle przez zlecającego – świadomego, że zamówiony test się odbywa1.

Do 2017 r. penalizowane było także podobne działanie z obszaru bezpieczeństwa, czyli bug bounty (poszukiwanie błędów), polegające na raportowaniu błędów znalezionych w wystawionej do testów aplikacji przez osoby zewnętrzne, do czego zachęcają (zwykle nagrodą pieniężną) niektóre organizacje2.

Ustawodawca w ustawie z dnia 23 marca 2017 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (DzU z 2017 r., poz. 768) wprowadził w art. 269b kk zmianę polegającą na dodaniu § 1a o treści: „Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia”. Efektywnie spowodowała depenalizację testów penetracyjnych tak długo, jak tester jest w stanie wykazać (np. na podstawie umowy zawartej ze zleceniodawcą testu), że celem wykonywanych działań jest zabezpieczenie systemu teleinformatycznego.

Przebieg testu penetracyjnego

Przebieg i zakres testu penetracyjnego zależą od zakresu określonego w umowie spisanej między zamawiającym – właścicielem infrastruktury podlegającej testom − a firmą lub osobą je wykonującą. W umowie powinien być określony zakres wykonywanych testów, ramy czasowe, warunki konieczne do wykonania testów, a także procedury związane z prezentacją i przekazaniem ich wyników. Konieczne jest też określenie siły, z jaką mogą odbywać się testy (np. czy dozwolone są ataki mające na celu wysycenie infrastruktury testowanego). Ważne jest też, aby umowa obejmowała dalsze losy zdobytych podczas testów poufnych danych, czy będą one przekazane zleceniodawcy, w jaki sposób zostaną zniszczone oraz jakie kary umowne przewiduje się za ewentualne upublicznienie danych.


Test penetracyjny może przebiegać różnymi ścieżkami w zależności od potrzeb można zasymulować i wykonać próbę ataku internetowego, ataku zdalnego poprzez e-mail lub pełnego ataku mającego na celu wydobycie danych organizacji. W ostatnim, najciekawszym przypadku zlecający pozwala testerom na wykorzystanie wszelkich metod do zdobycia danych i przeprowadzenia testu. W takiej sytuacji metody, z jakich korzystają testerzy, poza testami zdalnymi mogą obejmować także próby uzyskania fizycznego dostępu do danych firmowych, wyłudzenia informacji poufnych (tzw. social hacking) i innych. Testerzy, tak jak zdeterminowani hakerzy, próbują wszelkich metod w celu uzyskania informacji poufnych, dzięki którym uda się dostać do danych firmowych. W takich przypadkach tylko wyobraźnia i umiejętności testera ograniczają metody ataku.

Prześledźmy dwa scenariusze testu:

  • pierwszy, którego założeniem jest przetestowanie odporności organizacji na zdalne ataki, zarówno ogólne, jak i ukierunkowane, oraz
  • drugi, w którym organizacja dała testerom wolną rękę, aby przetestować jej odporność na próby wydobycia poufnych danych.

Zdalny test penetracyjny

W tym scenariuszu testujący ogranicza się do prób uzyskania danych za pomocą środków zdalnych.

[...]

Autor jest pracownikiem firmy integratorskiej i inżynierem sieciowym z wieloletnim doświadczeniem w obszarach bezpieczeństwa, wysokiej dostępności, integracji systemów bezpieczeństwa, sieci Data Center, bezprzewodowych. Współpracuje z wieloma firmami i instytucjami z obszaru finansów, administracji publicznej, energetyki i innych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.