I Penetration Test sono metodologie di analisi che consentono di mettere alla prova la propria infrastruttura di rete contro gli attacchi informatici. Nel nostro articolo impareremo a pianificare questi test e a capire di cosa abbiamo bisogno per fornire un servizio professionale al nostro cliente finale o alla nostra rete.
Penetration Test, cosa sono?
Letteralmente tradotti i "test di penetrazione" lasciano ben poco spazio all'immaginazione e forniscono un quadro ben preciso dei loro possibili utilizzi in ambito aziendale e non. Un penetration test è una procedura spesso richiesta dalle grandi, medie e piccole aziende per testare fino in fondo il grado di sicurezza della propria rete. Essi, in media, vengono effettuati su base annuale e sono pianificati da personale esterno all'azienda. Questo per avere un quadro generale della sicurezza informatica aziendale chiaro e obiettivo.
Esistono molte società specializzate in questo tipo di attività, a livello mondiale. In Italia, purtroppo, le società in grado di fornire un alto grado di professionalità in queste delicate operazioni sono ancora troppo poche. A dire il vero il penetration test è un'operazione non molto richiesta e conosciuta nel nostro paese. Speriamo che in futuro le cose cambino e che una volta per tutte ci si accorga che la sicurezza informatica gioca un ruolo importante in tutte le società, grandi o piccole che esse siano. Altrimenti saremo costretti a darla vinta ai tanti script-kiddie presenti in giro sulle reti nostrane.
Valutazione della sicurezza
Prima di procedere con le vere e proprie attività di testing della sicurezza di una rete di computer è necessario pianificare quest'ultime. Prima di tutto c'è bisogno di una "valutazione della sicurezza". Ecco i vari tipi di valutazione che è necessario pianificare:
- Valutazione delle vulnerabilità interne e della penetrazione
- Valutazione della penetrazione esterna e delle vulnerabilità
- Valutazione della sicurezza fisica
Concentreremo, per semplicità, il nostro articolo sull'analisi di questi tre tipi di valutazione.
Un argomento che è necessario non tralasciare è il lato "legale" che un penetration test comporta. Di norma, le società che si occupano di questo genere di operazioni rilasciano ai propri clienti una dichiarazione da approvare. Il cliente è portato, cioè, ad "autorizzzare" la società e i suoi specialisti ad introdursi nei propri sistemi, cioè tramite lo sfruttamento di eventuali falle di sicurezza, vulnerabilità e configurazioni non perfette. È opportuno per entrambe le parti chiarire a priori questo tipo di regole. In questo senso, una valutazione della sicurezza "non compresa" può causare danni irreparabili.
Siamo ora pronti per affrontare, uno per uno, i vari tipi di valutazione della sicurezza.
Valutazione delle vulnerabilità interne e della penetrazione
Proprio quando si è convinti di essere nel mirino di un attacker ed esposti ad un rischio molto alto ecco che i veri problemi vengono dall'interno dell'azienda interessata. Ebbene, quasi la metà di tutti gli attacchi portati a termine da malintenzionati verso le reti di computer di una azienda sono causati dalla mancanza di personale interno, e specializzato, a quest'ultima. Configurazioni non perfette, carenza di procedure di sicurezza efficaci, macchine non aggiornate e quant'altro. Ecco i veri problemi che un'azienda moderna deve affrontare. In che modo, dunque, è possibile ovviare a questi tipi di problema? I consulenti di sicurezza sono la risposta a queste domande.
Questi ultimi, dovrebbero essere in grado di verificare questi rischi e di creare un piano di sicurezza adeguato all'azienda. Inoltre, sempre gli specialisti di sicurezza, dovrebbero con la loro consulenza consigliare all'azienda la giusta strada per mantenere un livello di sicurezza elevato ed evitare rischi futuri. Si procede dunque con una "metodologia di verifica" della valutazione delle vulnerabilità interne.
Metodologia di verifica
Di solito, la valutazione interna della rete, viene effettuata in sede e interessa soprattutto le varie informazioni legate alle policiy, le procedure e alle applicazioni presenti nella rete. Un consulente di sicurezza dovrebbe essere in grado di svolgere i seguenti compiti:
- riuscire ad ottenere quante più informazioni possibili sulla rete del cliente;
- cercare di raccogliere tutte le informazioni pubbliche che riguardano il cliente (documenti, comunicati stampa, etc.) in modo da avere una panoramica ben precisa su quelli che possono essere gli strumenti utilizzati da un attacker per avere le prime informazioni sulla sua preda;
- essere in grado di fare un mapping della rete per determinare la topologia e la struttura fisica di quest'ultima;
- eseguire indagini e scansioni delle applicazioni;
- analizzare e studiare il sistema operativo in uso alla ricerca di possibili vulnerabilità;
- analizzare le vulnerabilità attraverso strumenti pubblici, privati e personalizzati;
- identificare e isolare gli host a rischio presenti nella rete;
- valutare se le vulnerabilità rilevate siano veramente reali o fittizie (alcuni errori possono capitare);
- studiare le policy di sicurezza adottate dall'azienda per quel tipo di rete;
- rilevare debolezze nei sistemi di autenticazione degli utenti
Alla fine l'esperto di sicurezza dovrebbe rilasciare alla società un documento nel quale raccoglie ciò che ha analizzato e corredarlo con delle raccomandazioni specifiche per risolvere gli eventuali problemi riscontrati nell'intera rete.
Valutazione della penetrazione esterna e delle vulnerabilità
Visto che lo sviluppo di Internet prevede anche la possibilità di creare delle sedi telematiche distaccate di varie società in più parti del mondo (parliamo di soluzioni VPN) il rischio di essere preda di attacchi informatici sale drammaticamente. I rischi provengono inoltre da configurazioni non corrette di router e firewall, da applicazioni Web non protette o configurate in modo errato. Anche qui gli esperti di sicurezza sono in grado di dare una grossa mano alle aziende che pensano di soffrire di questi problemi. Analizziamo dunque le metodologie di verfica.
Metodologia di verifica
Le valutazioni della penetrazione esterna e delle vulnerabilità sono effettuate sulla rete delle aziende che interegiscono con il mondo esterno attraverso connessioni a Internet, wireless, sistemi telefonici e qualsiasi altro tipo di dispositivo di accesso remoto. Lo scopo di questa valutazione è quello di analizzare i rischi connessi a sucitati usi della rete. Molti dei metodi usati per la valutazione delle vulnerabilità interne sono utilizzate anche in questa. Per questo motivo evitiamo di ripeterle per guadagnare spazio importante. Ecco l'elenco di ciò che dovrebbe essere in grado di fare un esperto di sicurezza in questo caso:
- effettuare attacchi di tipo firewalking,
- effettuare attacchi di tipo war dialing e war driving
Il risultato, come già detto, dovrebbe permettere all'esperto di sicurezza di stilare un documento molto simile a quello usato da una valutazione interna, ad eccezione del punto di vista esterno, ovviamente.
Abbiamo dunque analizzato in maniera distinta e separata i due tipi di valutazione notando che non sono molto diversi tra loro. È per questo motivo che ci sentiamo di suggerire di richiedere entrambe le valutazioni contemporaneamente e non separatamente.
Valutazione della sicurezza fisica
Uno dei rischi più temuti dagli esperti di sicurezza informatica, e che dunque come problema in quanto tale non deve a nessun costo essere trascurato, sono proprio quelli che derivano dalla "sicurezza fisica".
Ma cosa intendiamo per sicurezza fisica? Al giorno d'oggi possiamo paragonare la sicurezza fisica ad ogni mancanza di prudenza e di attenzione. Pensate infatti che nell'epoca del digitale e dell'IT sono ancora tanti gli errori "umani" che possono in pochi minuti mettere a repentaglio la nostra infrastruttura. Pensiamo al fatto che molti utenti segnano ancora su pezzettini di carta password e username per lasciarli poi incustoditi e alla vista di tutti, magari appiccicati vicino al proprio monitor o alla propria postazione di lavoro. Tanti sono i casi di "mancanza di sicurezza fisica".
Potremo scrivere un altro articolo solo su questo argomento. Per citare quanto detto da Tom Thomas, nel suo libro Network Security (Cisco Press, Mondadori Informatica), che rende molto bene l'idea di sicurezza fisica: "Qual è il vantaggio di avere i firewall, i sistemi di rilevamento intrusioni e le reti VPN più innovative, se lasciate aperta la porta della stanza in cui risiede il vostro equipaggiamento?"
Metodologia di verifica
Una valutazione della sicurezza fisica di una infrastruttura di rete dovrebbe essere eseguita presso la sede dell'azienda dove risiede, fisicamente, quest'ultima. Ecco le metodologie che dovrebbero essere usate in questo caso:
- osservare tutti punti esterni a cui si può accedere all'edificio e tutte le misure di difesa presenti nel luogo;
- osservare se il luogo dispone di misure di difesa quali: videocamere a circuito chiuso, accessi mediante tesserino magnetico e procedure di registrazione dei visitatori;
- analizzare tutti i dispositivi di sicurezza fisici presenti nel luogo, siano essi catenacci, blocchi o altro, per difendere un determinato rack o un semplice archivio di documenti "critici";
- prestare molta attenzione alle abitudini dei dipendenti per quanto concerne la sicurezza fisica. Capire se sono abbastanza "formati" alla sicurezza fisica o meno;
- osservare i metodi di archiviazione fisica dei dati;
- comprendere tutte le procedure logiche di archiviazione dati e i relativi metodi di backup;
- analizzare attentamente, ed in ogni punto, la policy in materia di sicurezza informatica adottata dall'azienda in questione.
Il risultato di questa operazione dovrebbe permettere all'esperto di sicurezza di stilare un documento contenente tutte le metodologie usate per il test, i problemi riscontrati e le eventuali risoluzioni a quest'ultimi. Risoluzioni che spesso si traducono in risparmio economico per l'azienda sottoposta a tali operazioni..