Penetration test

Da Wikipedia, l'enciclopedia libera.

In informatica, il penetration test (o informalmente pen test) è il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. L'analisi comprende più fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l'accesso non autorizzato. L'analisi è condotta dal punto di vista di un potenziale attaccante e consiste nello sfruttamento delle vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente al sistema. Un penetration test può aiutare a determinare se le difese del sistema sono sufficienti o se presenta delle vulnerabilità elencando in questo caso quali difese il test ha sconfitto.[1][2]

Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme ad una valutazione del loro impatto nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di migrazione e mitigazione del sistema.[3]

Il penetration test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti:

  • delle vulnerabilità interne al sistema;
  • delle vulnerabilità esterne al sistema;
  • della sicurezza fisica.

Procedimenti di analisi[modifica | modifica wikitesto]

L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attività è chiamato penetration tester o auditor e oggi anche con il più moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le stesse logiche utilizzate da un hacker. Un gruppo di penetration tester è chiamato anche tiger team.

I processi di penetration test possono essere effettuati in diverse modalità. La differenza consiste sulla quantità e qualità delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test Black Box non presuppongono precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi.

Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, codice sorgente delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili Grey Box.[4] I risultati dei penetration test possono valutare gli impatti di un attacco e suggerire contromisure per ridurre i rischi.[4]

I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse.

L'attività si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza di ciò che si espone.

È importante capire che la probabilità che un pen-tester riesca a trovare tutti i problemi di sicurezza è molto bassa. Ad esempio: ieri è stato fatto un penetration test che ha messo in evidenza l'assenza di vulnerabilità nel sistema; oggi Microsoft rilascia una patch atta a correggere alcuni errori di sistema contenente una nuova vulnerabilità di alcuni server di posta che in precedenza erano considerati sicuri; questo significa che il pen-test di ieri non è più valido visto che naturalmente non può mettere in luce la nuova vulnerabilità. Lo stesso esempio può essere applicato ad ogni modifica attuata sul sistema. Mantenere una rete sicura richiede quindi una vigilanza costante.

Storia[modifica | modifica wikitesto]

Verso la metà degli anni ‘60, nascono nuovi problemi per la sicurezza dei dati: la crescente popolarità dei sistemi informatici time-sharing rendono le risorse accessibili attraverso le linee di comunicazione. Come spiegano gli studiosi Deborah Russell e G.T. Gangemi "Il 1960 ha segnato il vero inizio dell'era della sicurezza informatica."[5] Nel giugno del 1965, per esempio, molti dei maggiori esperti di sicurezza informatica del paese tennero una delle prime importanti conferenze sui sistemi di sicurezza, il System Development Corporation (SDC). Durante la conferenza, qualcuno fece notare che un dipendente della SDC era stato in grado di minare facilmente diverse misure di sicurezza del AN/FSQ-32 della SDC, un solid state computer utilizzato in ambito militare. Nella speranza che gli studi sui sistemi di sicurezza tornassero utili i partecipanti alla conferenza hanno richiesto formalmente per la prima volta di utilizzare la computer penetration come strumento per studiare i sistemi di sicurezza.[6]

Logo della Rand Corporation

Alla Spring 1967 Joint Computer Conference, molti specialisti del computer si riuniscono di nuovo per discutere della sicurezza dei sistemi informatici. Durante questa conferenza, gli esperti di sicurezza informatica Willis Ware, Harold Petersen, Rein Tern, Bernard Peters della National Security Agency (NSA) e tutta la RAND Corporation utilizzano il termine "penetrazione" per descrivere un attacco contro un sistema informatico. In un documento, Ware avvertì che era importante eseguire dei tentativi di penetrazione sui sistemi informatici, riferendosi ai sistemi time-sharing militari. I suoi colleghi Petersen e Turn condivisero lo stesso concetto, osservando che i sistemi di comunicazione on-line "... sono vulnerabili alle minacce riguardanti la privacy". Bernard Peters dell'NSA rimarcò lo stesso punto, insistendo che l'input e l'output di un computer "... potrebbero fornire grandi quantità di informazioni a seguito di una penetrazione." Nel corso della conferenza, la computer penetration viene formalmente identificata come una grave minaccia per i sistemi informatici on-line.[7]

La minaccia della computer penetration fu sottolineata in un importante rapporto organizzato dal Dipartimento della Difesa statunitense (DoD) alla fine del 1967. In sostanza, i funzionari del Dipartimento della Difesa si rivolsero a Willis Ware per condurre una task force di esperti proveniente da NSA, CIA, DoD, mondo accademico e industria per valutare formalmente la sicurezza dei sistemi informatici time-sharing. Facendo affidamento su molti documenti presentati nel corso dello Spring 1967 Joint Computer Conference, la task force confermò largamente che la computer penetration era una minaccia alla sicurezza del sistema informatico. Il rapporto di Ware è stato inizialmente classificato, ma molti dei maggiori esperti informatici del paese identificarono lo studio come documento definitivo sulla sicurezza informatica.[7] Jeffrey R. Yost del Charles Babbage Institute ha più recentemente descritto il rapporto di Ware come "... di gran lunga lo studio più importante e approfondito su questioni tecniche e operative in materia di sicurezza dei sistemi informatici del suo tempo".[8] In effetti, il rapporto Ware ha ribadito la grave minaccia rappresentata dalla computer penetration per i nuovi sistemi time-sharing online.

Per capire meglio le debolezze del sistema, il governo federale e dei suoi finanziatori ben presto cominciarono ad organizzare squadre di penetratori, conosciute come tiger teams, per usare la computer penetration come test della sicurezza dei sistemi. Deborah Russell e G.T. Gangemi, hanno dichiarato che nel corso del 1970 nacquero i primi tiger teams: squadre di crackers finanziati dal governo e dalle industrie per tentate di abbattere le difese dei sistemi informatici nel tentativo di scoprire, ed eventualmente correggere, buchi di sicurezza ".[9]

Donald MacKenzie, uno studioso della storia della sicurezza informatica, sottolinea che "RAND aveva fatto alcuni studi di penetrazione (esperimenti di eludere i controlli di sicurezza informatica) dei primi sistemi time-sharing per conto del governo".[10] Jeffrey R. Yost del Charles Babbage Institute, nel suo lavoro sulla storia della sicurezza informatica, riconosce anche che sia la RAND Corporation che la SDC avevano "svolto alcuni dei primi studi di penetrazione provando ad infiltrarsi nei sistemi time-sharing al fine di testare la loro vulnerabilità ".[11] In quasi tutti questi primi studi, i tiger team sono riusciti ad infiltrarsi in tutti i sistemi informatici presi come obiettivo, visto che le difese dei sistemi time-sharing del paese erano deboli.

Le azioni dei primi tiger team e gli sforzi della RAND Corporation hanno dimostrato l'utilità dei penetration test come strumento per la valutazione della sicurezza del sistema. A quel tempo, un analista RAND notò che i test avevano "... dimostrato la praticità della system-penetration come strumento per valutare l'efficacia e l'adeguatezza delle difese per la sicurezza dei dati." Inoltre, un certo numero di analisti RAND affermarono che gli esercizi di penetration test offrivano diversi vantaggi che erano sufficienti per giustificarne l’uso.[12]

Forse il principale esperto di computer penetration durante questi primi anni è stato James P. Anderson, che ha lavorato per NSA, RAND, e altre agenzie governative per studiare la sicurezza dei sistemi informatici. All’inizio del 1971, la U.S. Air Force assume la società privata di Anderson per studiare la sicurezza del suo sistema di time-sharing al Pentagono. Nel suo studio, Anderson ha delineato una serie di importanti fattori coinvolti nella computer penetration. Anderson ha descritto un attacco generale come sequenza dei seguenti passi:

  1. Trovare una vulnerabilità sfruttabile
  2. Progettare un attacco intorno ad essa
  3. Testare l'attacco
  4. Impadronirsi di una linea in uso
  5. Eseguire l'attacco
  6. Sfruttare ingresso per recupero delle informazioni
William Broad

Nel corso del tempo, la sequenza di Anderson ha contribuito a guidare molti altri esperti di sicurezza, che si sono basati su questa tecnica per valutare la sicurezza dei sistemi time-sharing.[12]

Negli anni successivi, la computer penetration come strumento per la valutazione della sicurezza è diventato più raffinato e sofisticato. Nei primi anni 1980, il giornalista William Broad riassunse brevemente i continui sforzi dei tiger teams per valutare la sicurezza del sistema. Come riportato da Broad, il rapporto di Ware finanziato dal DoD aveva “...mostrato come le spie potessero introdursi nei computer, rubare o copiare i file e sovvertire i dispositivi che normalmente proteggono le informazioni top secret”.[13]

Mentre questi studi suggerivano che la sicurezza informatica negli Stati Uniti era un problema importante, lo studioso Edward Hunt ha di recente fatto una riflessione più ampia sullo studio della computer-penetration come strumento di sicurezza. Hunt, in un recente documento sulla storia del penetration test, suggerisce che le istituzioni per la difesa degli Stati Uniti “... hanno creato molti degli strumenti utilizzati nella moderna guerra cibernetica”.[14]

Standard e Certificazioni professionali[modifica | modifica wikitesto]

Nell'ambito del penetration test è possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute caratteristiche tecniche e di affidabilità degli operatori nonché quello di fornire una metodologia che renda il test di per sé replicabile, valutabile e misurabile nel tempo:

La IACRB (Information Assurance Certification Review Board) fornisce una certificazione per penetration tester nota come Certified Penetration Tester (CPT). Il CPT richiede che il candidato superi un esame a scelta multipla tradizionale e un esame pratico che richiede al candidato di eseguire un pen test contro su di un server.[15]

Strumenti[modifica | modifica wikitesto]

Sono disponibili una vasta gamma di strumenti di pen-test per la valutazione della sicurezza del nostro sistema, sia software liberi che commerciali.

Distribuzioni di sistemi operativi specializzati[modifica | modifica wikitesto]

Screenshot standard di Kali Linux

Diverse distribuzioni di sistemi operativi sono orientate verso il penetration test.[16] Tali distribuzioni di solito contengono una serie di strumenti preconfigurati. Il penetration tester non deve però cercare ogni singolo strumento visto che questo potrebbe portare a complicazioni come ad esempio errori di compilazione, problemi di dipendenze o errori di configurazione. Inoltre, l'acquisizione di strumenti aggiuntivi può essere poco pratica dal punto di vista del tester.

Alcuni dei più famosi sistemi operativi orientati al pen test sono:

Un certo numero di sistemi operativi includono vulnerabilità di sistema o applicative conosciute, e possono essere utilizzate come bersagli. Tali sistemi aiutano i nuovi professionisti della sicurezza a provare gli ultimi strumenti di sicurezza in un ambiente di laboratorio. Alcuni di questi sono:

Logo Metasploit

Software frameworks Penetration Test[modifica | modifica wikitesto]

Strumenti di test automatizzati[modifica | modifica wikitesto]

Il processo di penetration test può essere semplificato in due parti:

  1. Scoprire delle vulnerabilità, cioè una combinazione di operazioni valide che permettono al tester di eseguire operazioni non valide
  2. Descrizione dell'operazione non valida

Vulnerabilità[modifica | modifica wikitesto]

Operazioni valide che consentono al tester di eseguire un'operazione non valida includono comandi unescaped SQL, rapporti umani e funzioni crittografiche ormai obsolete. Una sola vulnerabilità potrebbe non essere sufficiente per permettere un exploit. È spesso richiesto di utilizzare più di una vulnerabilità nota e modellare il payload in modo da farlo apparire valido. Metasploit fornisce una libreria ruby per le attività più comuni e mantiene un database di exploit noti.

Il fuzzing è una tecnica molto diffusa per scoprire le vulnerabilità di un sistema. Ha lo scopo di ottenere un errore non gestito attraverso un input casuale. Il tester utilizza input casuali per accedere a porzioni di codice poco utilizzate visto che quelle più frequenti sono solitamente esenti da errori. Gli errori sono utili perché o espongono ulteriori informazioni, come ad esempio crash del server HTTP, o sono direttamente utilizzabili, ad esempio il buffer overflow.

Immaginate un sito che dispone di 100 caselle di testo. Alcune saranno vulnerabili a SQL injection attraverso l'uso di determinate stringhe. L'invio continuo di stringhe casuali arriverà prima o poi a trovare un buco nella sicurezza. L'errore risulta evidente presentandosi come una pagina HTML non corretta a causa di un errore SQL. In questo caso, solo le caselle di testo sono utilizzate come input. Tuttavia, i sistemi software hanno solitamente molti tipi di input, come i cookie, il flusso di un file in upload o canali RPC. Gli errori possono presentarsi in tutti questi tipi di input. L'obiettivo è quello di ottenere prima un errore non gestito, e quindi comprendere la falla basandosi sul test che ha portato al fallimento. Il tester progetta uno strumento automatizzato per testare la sua conoscenza della falla finché non la comprende a pieno. In seguito, diventa evidente come creare il payload in modo che il sistema vittima lo esegua. Se questa via non è percorribile si può sperare che un altro errore prodotto dal fuzzer produca più frutti. L'uso di un fuzzer consente di risparmiare tempo in modo da non dover controllare le porzioni di codice in cui è improbabile trovare delle vulnerabilità.

Payload[modifica | modifica wikitesto]

L'operazione non valida, o payload nella terminologia Metasploit, può comportare controllo remoto del mouse, comparsa di popup pubblicitari, furti della password o altro. Alcune aziende mantengono grandi database di exploit noti e forniscono prodotti che mettono alla prova automaticamente i sistemi per conoscerne le vulnerabilità:

Note[modifica | modifica wikitesto]

  1. ^ (EN) The CISSP® and CAPCM Prep Guide: Platinum Edition, John Wiley & Sons, ISBN 978-0-470-00792-1.
    «A penetration test can determine how a system reacts to an attack, whether or not a system's defenses can be breached, and what information can be acquired from the system».
  2. ^ (EN) Kevin M. Henry, Penetration Testing: Protecting Networks and Systems, IT Governance Ltd, ISBN 978-1-84928-371-7.
    «Penetration testing is the simulation of an attack on a system, network, piece of equipment or other facility, with the objective of proving how vulnerable that system or "target" would be to a real attack.».
  3. ^ (EN) Penetration Testing: Assessing Your Overall Security Before Attackers Do (PDF), SANS. URL consultato il 10 dicembre 2016.
  4. ^ a b (EN) Writing a Penetration Testing Report (PDF), SANS, 6 aprile 2010. URL consultato il 10 dicembre 2016.
  5. ^ Russell and Gangemi, Sr. (1991), p. 27
  6. ^ Hunt (2012), pp. 7-8
  7. ^ a b Hunt (2012), p. 8
  8. ^ Yost (2007), p. 602
  9. ^ Russell and Gangemi, Sr. (1991), p. 29
  10. ^ MacKenzie (2001), p. 156
  11. ^ Yost (2007), pp. 601-602
  12. ^ a b Hunt (2012), p. 9
  13. ^ Broad, William J. (September 25, 1983). "Computer Security Worries Military Experts", New York Times
  14. ^ Hunt (2012), p. 5
  15. ^ (EN) Certified Penetration Tester (CPT), IACRB. URL consultato il 10 dicembre 2016.
  16. ^ (EN) Jeremy Faircloth, 1, in Penetration Tester's Open Source Toolkit, Third Edition, Third, Elsevier, 2011, ISBN 1-59749-627-8.
  17. ^ (EN) Pentoo, su pentoo.ch. URL consultato il 10 dicembre 2016.
  18. ^ (EN) Kali Penetration Testing concepts, ISBN 978-1-78216-316-9.
    «The creators of BackTrack have released a new, advanced Penetration Testing Linux distribution named Kali Linux».
  19. ^ (EN) Kali Penetration Testing concepts, ISBN 978-1-78216-316-9.
    «Kali Linux is designed to follow the flow of a Penetration Testing service engagement».

Voci correlate[modifica | modifica wikitesto]

Riferimenti[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica