(Zne)užívání výsledků penetračních testů
Výsledky penetračních testů jsou poměrně často třaskavé téma, obzvláště pokud se předtím na daném systému neprováděly.
Tendence využít nebo spíše zneužít výsledků penetračních testů tady byla, je a bude, s tím se nedá nic dělat, přesto i ti, co penetrační testy provádí, mají možnost tyto negativní jevy utlumit.
Je tomu už 15 let, co se profesionálně věnuji penetračním testům a bylo jich tolik, že už bych přesné číslo nedal dohromady. Nejde však o množství, ale fakt, že jsem měl tu možnost je provádět v mnoha oblastech společnosti (státní správa, samospráva, bezpečnostní složky státu, telekomunikace, energetika, zdravotnictví, finanční sektor, aj.), což mi přineslo nezapomenutelné zážitky a zkušenosti.
I když jsem na některé z pentestů už docela zapomněl, řadu z nich si stále pamatuji a budu dál pamatovat, nejen kvůli kritickým zranitelnostem, na které jsem narazil, např. backdoor v systému (většinou vyplývající z překotného vývoje, požadavků na rychlost dodávky a složitosti systému, které se prostě nemají rádi s bezpečností), ale především jejich účel, tedy proč byly požadovány.
Nemohu tak zapomenout na pentesty, jejichž výsledky pak byly nakonec zneužity/využity jak v rámci mocenského boje v organizacích, které si je objednaly, tak i pro vyřízení si účtů s konkurencí. Párkrát jsem i pentest odmítl dělat, např. když zadavatel narovinu řekl, že cílem je vyrovnat si účty za leaknutý dokument. (A to jsem si mohl tenkrát udělat zajímavý pentest ve velkém průmyslovém podniku, neudělal jsem ho a nelituji toho.)
Proto, když jsem si přečetl článek „Vodafone denies Huawei Italy security risk“, tak první, co mě napadlo, bylo, že mi je líto těch, co udělali dobře svou práci, tj. provedli kvalitní bezpečnostní test, našli zranitelnost, a někdo teď závěry jejich práce interpretoval trochu jinak a oni se tak proti své vůli stali součástí obchodního a mocenského boje. Co s tím jako pentesteři můžeme dělat? Tak především je nutné:
- objektivnost, nalezené zranitelnosti by se neměly uměle přifukovat, ale ani přehlížet a bagatelizovat a pokud možno by se měla využít nějaká všeobecně uznávaná metodika hodnocení, např. CVSS .
- nestrannost, přestože můžeme od zadavatele slyšet různé navádějící informace typu, kdo za to může, na co se zaměřit, pentester by měl zůstat nestranný a postupovat tak, jak umí nejlépe. To samozřejmě neplatí, pokud se provádí ověření opravy zranitelností.
- nespekulovat, do zprávy z pentestu nepatří spekulace, kdo, co mohl udělat a za jakým cílem. Pentester by se měl omezit jen na věcný popis nalezené zranitelnosti a jejího praktického zneužití.
- nechlubit se, to je to nejtěžší a často rozporuplné. Když najdeme nějakou závažnou zranitelnost, navíc byla-li nalezena obtížně, a ukazuje tak na kvalitu pentestera, pak nepochlubit se, stojí přemáhání, obzvláště u mladších pentesterů, kteří chtějí prokázat svou kvalitu. Navíc může nastat i situace, že se to může týkat nejenom zadavatele, a pak by se to mělo zveřejnit, obzvláště pokud se k tomu dodavatel staví odmítavě nebo vlažně.
- nezveřejňovat zprávy z pentestu, někdo může namítat, když jsou zranitelnosti opravené, pak není důvod je dál tajit, ale pořád je potřeba mít na mysli pravidlo „need to know“, protože i stará zpráva z pentestu může někoho poškodit a to přeci nebyl cíl.
No, není toho mnoho, ale stojí za to, tyto zásady dodržovat, a provedení pentestu raději i odmítnout, pokud k tomu nejsou vhodné podmínky (čas, přístupy k systému, informace k předmětu pentestu) anebo motivací zadavatele není odstranění chyb, ale spíše někoho poškodit. Možná, že slovo etický hacking vystihuje více než jen legitimnost činnost.
MALÝ, Robert, 2019. (Zne)užívání výsledků penetračních testů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zneuzivani-vysledku-penetracnich-testu/. [citováno 07.12.2024].
K článku “(Zne)užívání výsledků penetračních testů” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.