La sicurezza di un sistema informatico può essere verificata con il Penetration Testing. Questa tecnica, che spesso viene chiamata “Pen Test”, consiste in un insieme di passi/ procedure che cercano di compromettere il sistema di controllo accessi o di aggirarlo. L’obiettivo è quello di valutare la sicurezza dei sistemi e di evidenziare eventuali carenze. Viene richiesto dalla direzione aziendale ad aziende specializzate in sicurezza. Non sempre il personale tecnico viene coinvolto direttamente, anche perchè attraverso questi test è facile evidenziare “falle” non solo nei sistemi informatici ma negli utenti che li utilizzano.
Un Penetration Test dovrebbe avere le seguenti caratteristiche:
- Le richieste da parte del committente dovrebbero essere le più precise possibili
- I test devono essere eseguiti in un periodo temporale preciso, in modo da simulare il più possibile un attacco reale
- I test devono essere approvati dalla direzione aziendale perché eventuali crash del sistema potrebbero compromettere la produttività dell’azienda
- I test devono avere come scopo la valutazione dei sistemi di sicurezza ed eventualmente proporre contromisure: tecniche, amministrative o fisiche
Il Penetration Test verifica le seguenti aree:
- Sicurezza delle applicazioni: vengono testate le applicazioni con tecniche di buffer overflow, verificato l’utilizzo della cifratura, verificata l’autenticazione utente e l’integrità delle connessioni alla rete. Inoltre viene verificata la compatibilità delle applicazioni con eventuali firewall e sistemi di sicurezza utilizzati in azienda.
- DOS (Denial of service): vengono verificati tutti i sistemi e la loro resistenza ad attacchi che puntano a compromettere l’erogazione dei servizi
- War dialing: è una tecnica che utilizza l’uso di chiamate sequenziali ai numeri di telefono aziendali e che ha come obiettivo l’identificazione di modem o fax utilizzati in azienda
- Wireless: Vengono verificati e testati tutti gli access point aziendali o presenti nell’area di competenza dell’azienda. I test cercano di verificare se i protocolli di sicurezza utilizzati resistono ad eventuali attacchi che hanno l’obiettivo di permettere l’accesso alla rete aziendale
- Ingegneria sociale: Questi test verificano eventuali perdite di informazioni sensibili oppure utili per progettare un attacco tramite i sistemi di comunicazione come email, chat o social network, utilizzati dai dipendenti aziendali.
- PBX e Telefonia IP: I test cercano falle di sicurezza nei Centralini telefonici o nella rete VOIP. Un eventuale attaccante potrebbe carpire informazioni sensibili oppure commettere delle frodi telefoniche, utilizzando le linee telefoniche aziendali
Esistono diversi metodi per effettuare i Penetration Test:
- Prospettiva dell’attacco: i test possono essere effettuati internamente all’azienda oppure dall’esterno.
- Strategie:
- Black Box: il team di penetration testing non riceve alcuna informazione relativa ai sistemi aziendali.
- Conoscenza parziale: il team di penetration testing riceve solo alcune informazioni relative ai sistemi
- White Box: Viene fornita documentazione completa al team di penetration testing: tecnologie, credenziali per l’accesso, diagrammi di rete, ecc…
- Mirato: i test sono focalizzati su un particolare sistema o server. tutti gli altri sistemi devono essere esclusi dai test
- Double Blind: in alcuni casi la direzione può decidere di non avvisare il personale tecnico aziendale, in modo da verificare eventuali reazioni a tentativi di accesso al sistema
Le fasi che caratterizzano un penetration test sono:
- Raccolta informazioni
- Analisi informazioni
- Ricerca di eventuali vulnerabilità applicabili ai sistemi analizzati
- Applicazione delle vulnerabilità (exploitation)
Il test si conclude con la realizzazione della documentazione che deve relazionare tutte le fasi del test e le eventuali vulnerabilità riscontrate. Inoltre il team di penetration testing, propone miglioramenti dei sistemi di sicurezza aziendali o contromisure che eliminano le vulnerabilità. Le vulnerabilità e le contromisure vengono valutate utilizzando i KPI. Per un approfondimento sul sistema di valutazione tramite KPI fare riferimento al sito web del CVE