Bezpieczeństwo dzięki regularnym pentestom!

Etyczny haker, to jedyny haker, z którym chcemy współpracować, by ustrzec się przed niepożądanymi działaniami. W przypadku komunikacji mobilnej ochrona danych i konsumenta to bardzo ważna kwestia. Użytkownik, który otrzymuje SMS-a, musi być pewny, że wiadomość, którą otrzymał, pochodzi z pewnego źródła. Regularne pentesty sprawiają, że klienci mogą spać spokojnie, ponieważ sprawdzane są podatności serwisu na nadużycia i to w sposób ustawiczny.


Kim jest pentester?

Pentester to inaczej etyczny haker. Osoba, która jest pentesterem, ma za zadanie wyszukać jak najwięcej podatności w aplikacjach webowych, mobilnych czy w samej infrastrukturze. To od niej zależy czy zostaną wykryte podatności, które mogą wpłynąć na działanie aplikacji czy bezpieczeństwo naszych danych. W przeciwieństwie do nieetycznego hakera pentester ma zwykle ograniczony czas na swoje testy, co może wpłynąć na wynik końcowy i ilość znalezionych podatności. Dlatego warto przeprowadzać testy penetracyjne w regularnych odstępach czasu, aby na bieżąco znajdować ewentualne błędy bezpieczeństwa. Oczywiście nie powinno polegać się tylko na pentestach i oprócz tego powinno prowadzić się inne działania prewencyjne, takie jak regularne aktualizacje użytego oprogramowania czy np. wdrożenie WAF'a (Web Application Firewall). Warto też wiedzieć, że praca pentestera nie kończy się na testowaniu zabezpieczeń (co swoją drogą dla wielu osób jest najbardziej fascynującą częścią pentestów). Po każdym audycie tworzony jest raport, w którym to załączane są informacje na temat znalezionych podatności, ale również każdy raport posiada stosowne rady do każdego znalezionego błędu dla programistów, administratorów, przy których zastosowaniu można wyeliminować znalezione błędy. Tak więc praca pentestera nie kończy się na testowaniu zabezpieczeń. 

Co jest najważniejsze w Twojej pracy?  

W mojej pracy najważniejsza jest regularność oraz ciągłe udoskonalanie własnej wiedzy. Praktycznie codziennie znajdowane są nowe podatności, wykrywane są nowe metody ataków, a bez tej wiedzy szybko wypadłbym z "obiegu". Dlatego codziennie poświęcam czas na przegląd nowości z cyberświata, a jeśli powstaje gdzieś nowa podatność, która dotyka mojego obszaru zainteresowań np. bezpieczeństwa aplikacji webowych, staram się w kontrolowanym środowisku przyjrzeć się danej podatności i dowiedzieć się jak najlepiej jej szukać czy wykorzystać. Nie zawsze jednak jest czas, żeby wszystko zrobić samemu dlatego często w ramach relaksu, a jednocześnie dalszej nauki testuję specjalnie przygotowane podatne maszyny. Tak więc krótkim podsumowaniem dla pytania : "Co jest najważniejsze w Twojej pracy" - jest to ciągła nauka. 

Co firmy mogą zrobić lepiej?

Istnieje dużo firm, które przeprowadzają testy penetracyjne bardzo rzadko albo nie robią tego wcale. Istnieją bowiem w przekonaniu, że kto będzie chciał zhakować właśnie ich (jest to przekonanie bardzo mylne). W dzisiejszych czasach celem ataku może być każdy. Po pierwsze warto więc regularnie przeprowadzać testy penetracyjne, nawet jeśli poprzedni nie wykazał żadnych nieprawidłowości, warto test wykonać ponownie za określony czas. To, że wcześniej nie wykazał nieprawidłowości, nie oznacza, że kolejnym razem tych błędów nie będzie. Pamiętajmy, że codziennie znajdowane są różne podatności w różnych oprogramowaniach (istnieje więc duża szansa, że to właśnie my wykorzystujemy podatne wersje). Po drugie warto aktualizować i dbać o bezpieczeństwo wszystkich naszych serwerów czy stacji roboczych. Często można usłyszeć, że nie możemy zaktualizować systemu do nowszej wersji, bo jest to maszyna krytyczna, a zresztą ona jest za ,,stara'', żeby ją aktualizować. Haker nie będzie się przejmował, że jest to krytyczna maszyna, nawet powiem więcej, haker będzie się cieszył, że krytyczna maszyna dla danej firmy jest podatna, a on tę podatność może wykorzystać. Jeśli ograniczenia przy wspomnianych aktualizacjach wynikają np. z wieku maszyny, warto się zastanowić, w jaki inny sposób możemy zabezpieczyć daną maszynę. Po trzecie warto sobie uświadomić, że możemy wydawać ogromne pieniądze na różne systemy, które mają nas zabezpieczać, jednak w "każdym systemie jest jedna podatność" - człowiek. Warto więc przyłożyć się również do edukacji pracowników pod kątem cyberzagrożeń (o różnych cyberzagrożeniach piszę w ramach serii CyberLabs, na którą serdecznie zapraszam). Oprócz samych szkoleń można przeprowadzać również np. kontrolowane testy phishingowe, które realnie wykażą świadomość pracowników.

Jak często powinno się robić testy penetracyjne?   

Jak wspomniałem, warto przeprowadzać regularne testy penetracyjne nawet jeśli poprzednie testy nie wykazały żadnych nieprawidłowości. Jeśli miałbym powiedzieć, co jaki czas powinny być przeprowadzane, to byłby to okres co 6 miesięcy albo roku. Warto tu zaznaczyć, że ten okres może się różnić w zależności od przeznaczenia danej aplikacji tzn. aplikacje, które są typowymi stronami informacyjnymi nie muszą być tak często testowane jak aplikacje służące np. do kampanii SMS. Dodatkowo, jeśli zaraz po penteście zostały wdrożone większe zmiany, należy przeprowadzić ponownie takie testy, chociażby dla danej części aplikacji, aby wyeliminować ewentualne podatności w nowej funkcjonalności. Należy pamiętać, że część błędów nie jest spowodowanych podatną biblioteką, lecz "niebezpiecznym" kodem napisanym przez programistów. Dobrze by było, więc gdyby programiści mieli świadomość na temat tego jak powstają popularne błędy bezpieczeństwa. Dzięki temu już na wczesnym etapie wytwarzania oprogramowania pozbędziemy się wielu podatności. 

Jak ważne są takie testy z punktu widzenia komunikacji SMS ?   

Wydaje mi się, że testy penetracyjne z punktu widzenia ogólnie platform CPaaS (Communications Platform as a Service) są bardzo ważne. Z takich platform korzysta wiele firm z różnych sektorów, podatności więc w takich platformach oprócz negatywnego wpływu na poufność, integralność oraz dostępność przetwarzanych danych mogą nieść za sobą straty wizerunkowe i finansowe. Wystarczy wyobrazić sobie skutki, które byłyby następstwem włamania do platformy CPaaS, za pośrednictwem której np. banki wysyłają wiadomości. Gdyby doszło do takiej sytuacji, przestępca miałby dostęp do danych klientów, a także mógłby z powodzeniem wysyłać np. wiadomości phishingowe z zaufanego źródła. Tak więc z całą stanowczością mogę stwierdzić, że takowe testy są bardzo ważne oraz podkreślę to jeszcze raz: powinno się wykonywać takie testy regularnie.
 

MichałBłaszczakpentesty

Michał Błaszczak  
Pentester w Vercom SA


"Działam jak haker, ale w etyczny sposób. Regularne przeprowadzanie testów penetracyjnych, to bardzo ważna sprawa z punktu widzenia działania serwisu i sprawdzania podatności".

Wróć do listy

Odkryj świat komunikacji mobilnej w profesjonalnym wydaniu!

Odbierz 100 darmowych wiadomości na start + Short Code 4301 gratis!

Wypróbuj za darmo

Testuj 14 dni za darmo