Al enige tijd heb ik een interesse voor security testen. Niet zo zeer om het in het wild toe te kunnen passen maar meer omdat het complexe testsoorten zijn. Het is een spelletje "Hebbes!" waarbij je zeer bewust op zoek gaat naar zwakheden in het systeem. Het soort van testen waar een testmagiër vol op los mag gaan. Dus als een webpagina sql injecties toestaat is het: Hebbes! Lukt het door middel van path travelsal toegang te krijgen tot directory's met daarop bestanden met gevoelige informatie: Hebbes! Elke mogelijke manier is toegestaan als het maar resultaat oplevert. De Pen-tester is altijd op zoek naar nieuwe en dus nog onbekende zwakke plekken in het aan te vallen systeem.
Alles van waarde is weerloos en zo zijn er nog veel meer gevoeligheden waar Zwiebers dankbaar gebruik van maken om de dagelijkse gang van zaken te verstoren. Vaak is het doel niet eens om zonder toestemming toegang te krijgen tot gevoelige informatie en/of deze te manipuleren maar om de winst genererende bedrijfsvoering te verstoren en daar waar mogelijk over te nemen. Uiteraard zonder dat het opvalt of is te traceren.
Pen-testen worden uitgevoerd om zorg te dragen dat gegevens veilig zijn en de continuïteit van de bedrijfsvoering te waarborgen. Als je iets vindt, meld het dan bij het management van het project. Dit levert je bonuspunten op. (Nog beter is het als je ook de oplossing er bij weet) Iets vinden en gaan dreigen om het openbaar te maken levert je al snel een verkeerde naam op.
Pen-testen vinden plaats in opdracht. Zonder de opdracht vallen de zelfde handelingen onder de noemer hacken. Blackhat hacken wel te verstaan. Vroeger kon je er nog wel eens mee weg komen door te verklaren dat je geen kwaad in zin had/hebt. Je verklaard jezelf daarmee tot White-hat hacker. Er is tegenwoordig regelgeving voor waardoor je zonder de eerst genoemde toestemming met een criminele activiteit bezig bent. Dit wil niet zeggen dat het door sommige organisaties toch gewaardeerd wordt als ze op de hoogte gesteld worden van de zwakheden in het systeem. Maar voorzichtigheid en discretie zijn hier op hun plaats.
Over het algemeen vinden de testen van buiten de organisatie van de opdrachtgever plaats. De tester kijkt dan hoe ver de organisatie binnen gedrongen kan worden, een penetratie test. Vandaar de naam Pen-testen, waarbij Pen een afkorting is voor penetratie. Eenmaal binnen wordt er rond gesnuffeld wat de mogelijkheden zijn. Soms worden ook bewust van binnen de organisatie pen-testen opgezet, authenticatie, verificatie en autorisaties zijn hierbij de sleutel. Immers niet elke medewerker heeft even goede bedoelingen. De organisatie is het aan zichzelf verplicht om continuïteit in de bedrijfsvoering te waarborgen. Mooier is het als de organisatie aangeeft het maximale te doen hun cliënten en medewerkers te beschermen tegen kwalijke invloeden van buiten af. Elke vorm van communicatie kan hierbij misbruikt worden, ook afval. Maar over het algemeen wordt alleen de elektronische weg bewandeld.
De testen vinden aangekondigd en onaangekondigd plaats, de blackhats houden zich immers ook niet aan kantoortijden. Onaangekondigd werkt over het algemeen beter omdat er nogal wat beheerders zijn die snel alle services uit zetten en alle rechten intrekken wanneer ze weten dat er een pen-test plaats vindt op een bepaald moment. Eigenlijk de verkeerde houding, de pen-test levert waardevolle informatie op waar op geacteerd mag worden.
Als je geïnteresseerd bent in pen-testen en wilt weten op welk niveau je toepasbare kennis is over dit onderwerp dan zijn daarvoor websites gemaakt. Een andere manier is om bij certified secure te toetsen. Het leuke aan deze laatste is dat je daadwerkelijk uitgedaagd wordt met echte scenario’s, je score wordt bijgehouden en uiteindelijk is er de beloning met een heus certificaat. Moet je de uitdaging natuurlijk wel halen! Wil je jouw kennis naar een nog hoger niveau tillen dan is deze handleiding een mooie doorstart.
