Le fasi di un penetrationtest

Alessandra ZulloSicurezza Informatica

www.alessandrazullo.it

Maggio 2016

Alessandra Zullo Le fasi di un pentest 1/18

Introduzione - Cos’è il penetrationtest?

Con il termine penetration testing (detto anche pentest ) siintende l’insieme di tecniche atte a simulare attacchi allasicurezza di un sistema per valutarne i rischi e le vulnerabilità.

Alessandra Zullo Le fasi di un pentest 2/18

Introduzione - Chi esegue il pentest?

Il pentest è eseguito da un ethical hacker, una figuraprofessionale esperta in sicurezza che sfrutta le conoscenze etecnologie tipiche di un hacker, finalizzate alla protezione diun sistema e non al suo danneggiamento.

Esso durante il pentest scopre le vulnerabilità del sistema ecerca di sfruttarle al fine di compredere le informazioni cheeventualmente possono essere acquisite da un attaccante.

Alessandra Zullo Le fasi di un pentest 3/18

Introduzione - Tipologie

Un penetration test è suddiviso in due tipologie:

1 Interno in cui si simula un impiegato1 che attaccaall’interno del perimetro del sistema(insider attack );

2 Esterno in cui si simula un attacco effettuato solitamentetramite Internet.

1Impiegato dell’azienda che ha commissionato il testAlessandra Zullo Le fasi di un pentest 4/18

Le fasi del testLe fasi di un pentest sono le seguenti:

• Pre-Engagement• Information Gathering• Threat Modeling• Analisi delle vulnerabilità• Exploitation• Post Exploitation• Reporting

Alessandra Zullo Le fasi di un pentest 5/18

Pre-Engagement (1)

In tale fase l’ethical hacker ha un colloquio con il cliente che gliha commissionato il pentest; durante tale colloquio esso deveacquisire informazioni su ciò che il cliente vuole ottenere daltest.

Le informazioni da raccogliere sono ad esempio il numero dipentest effettuati in precedenza, i technical report dei test fattiin passato; genericamente bisogna capire cosa ha spinto ilcliente a richiedere un pentest!

Alessandra Zullo Le fasi di un pentest 6/18

Pre-Engagement (2)Possiamo racchiudere le informazioni da raccogliere nelleseguenti categorie:

• Scope(contesto): Quali sono gli indirizzi IP accessibili enon accessibili, quali sono le operazioni che possonoessere eseguite, è possibile usare exploit, è possibile cheun servizio subisca un crash o bisogna limitarsi a trovare levulnerabilità, è possibile attuare un attacco di socialengineering?

• Testing Window(Finestra di esecuzione): il cliente puòindicare i giorni, l’orario o il periodo adatto per l’esecuzionedel test;

• Contact Information(Informazioni di Contatto): chi deveessere contattato nel caso in cui si scopre una vulnerabilitàpericolosa, l’orario di disponibilità di tale soggetto, il clientepreferisce che le email siano cifrate?

Alessandra Zullo Le fasi di un pentest 7/18

Pre-Engagement (3)

• Get Out of Jail Free Card(Autorizzazione): primadell’esecuzione di un qualsiasi pentest bisogna esseresicuri di disporre di tutte le autorizzazioni necessarie perl’esecuzione legale del test, bisogna quindi ottenere inmaniera formale l’approvazione all’esecuzione del test dalcliente o da una terza parte. Infine bisogna ottenere ladichiarazione dei limiti di responsabilità nel caso in cuiaccada qualcosa di inaspettato;

• Termini di pagamento: quando sarà effettuato ilpagamento?

• Accordo di non divulgazione: Bisogna firmare unaccordo di non divulgazione delle informazioni ottenutedurante il pentest.

Alessandra Zullo Le fasi di un pentest 8/18

Information Gathering

Questa fase ha l’obiettivo di raccogliere quante piùinformazioni possibili al fine di ricavarne dati preziosi da potersfruttare durante il corso del test.

Si comincia con il ricavare l’indirizzo IP e il WhoIsdell’infrastruttura in modo da ottenere dati come serverMailutilizzato, contatti di posta elettronica, numeri telefonici e tuttequelle informazioni utili per l’esecuzione di un attacco di socialengineering.

Alcuni strumenti utilizzati durante tale fase sono gli scanner diporta (portScanner ) che permettono di individuare le porteaperte o i servizi di rete disponibili.

Alessandra Zullo Le fasi di un pentest 9/18

Threat Modeling - Modello delleminacce

Grazie alle informazioni ricavate durante la fase precedente èpossibile sviluppare dei piani di attacco. . .

. . . quindi si creano delle strategie di penetrazione del sistema.

Alessandra Zullo Le fasi di un pentest 10/18

Analisi delle Vulnerabilità

In questa fase comincia la parte pratica del pentest cioè sianalizzano le vulnerabilità del sistema utilizzando apposititools come OpenVAS o Nessus.

Alessandra Zullo Le fasi di un pentest 11/18

ExploitationDopo aver scoperto quali sono le vulnerabilità del sistema èpossibile sfruttarle cercando innanzitutto di accedere al sistemadel client.

Uno dei principali tools utilizzati in tale fase è Metasploit.

Tenere presente che vi sono delle vulnerabilità del sistemamolto semplici da sfruttare, ad esempio la maggior parte deisistemi sono configurati per l’accesso con password di default.

Alessandra Zullo Le fasi di un pentest 12/18

Post-Exploitation

Tale fase segue l’exploitation, e consiste nella raccolta delleinformazioni ottenute nella fase precedente, quindi sicomprendono i privilegi sono ottenuti, quali operazioni sonoconsentite con tali privilegi, quali file sono stati compromessi oche password sono state ricavate o trovate.

Alessandra Zullo Le fasi di un pentest 13/18

Reporting (1)

La fase finale di un pentest è il reporting, durante la quale siforniscono al cliente i risultati ottenuti.E’ in tale fase che è possibile sottolineare gli aspetti del sistemaconsiderati sicuri e quelli per cui vi è il bisogno di migliorare lasicurezza.Tale fase prevede un documento finale (detto report ) in cuisono trascritti i risultati ottenuti e le relative modifiche daapportare al sistema per risolvere eventuali problemi.

Alessandra Zullo Le fasi di un pentest 14/18

Reporting (2) - Executive Summary

Il report può essere di due tipologie:

1) Executive Summary in cui sono descritti gli obiettivi del teste i risultati ottenuti; deve includere:

• Background: una descrizione dello scopo del test e ladefinzione dei termini che possono non essere familiaricome vulnerabilità o contromisure;

• Profilo dei rishi: un insieme di termini di paragone deirischi e della sicurezza dell’azienda specifica con altreaziende che posseggono misure di sicurezza idonee;

• Overall posture: una overview sull’efficacia del test, suiproblemi trovati e i problemi generali che provocanodeterminate vulnerabilità;

Alessandra Zullo Le fasi di un pentest 15/18

Reporting (3) - Executive Summary

• Risultati generali: una sintesi dei problemi individuati conle eventuali contromisure da adottare;

• Recommendation summary: una overview ad alto livellodi tutte le attività richieste per rimediare ai problemi trovati;

• Strategic road Map: un insieme di regole da seguire perraggiungere un certo livello di sicurezza.

NB: Tale report di solito è letto dai manager delle aziende enon da personale tecnico e specializzato in sicurezza.

Alessandra Zullo Le fasi di un pentest 16/18

Reporting (4) - Technical Report2) Report Tecnico in cui bisogna fornire tutti i dettagli tecnicidel pentest, deve includere:

• Introduzione: lista di obiettivi, contesto, contatti e altreinformazioni sull’azienda;

• Information Gathering: insieme di dettagli tecnici ottenutidurante la fase di raccolta delle informazioni, in particolareè possibile definire l’Internet Footprinting dell’azienda;

• Analisi delle vulnerabilità: dettagli delle vulnerabilitàtrovate;

• Exploitation e Vulnerabilità verification: dettagli dellefase di exploitation;

• Risk : una descrizione quantitativa dei rischi trovati, inparticolare bisogna dare una stima sulle perditedell’azienda nel caso in cui le vulnerabilità trovatevenissero sfruttate da un hacker;

• Conclusioni: un insieme di conclusioni sul test effettuato.Alessandra Zullo Le fasi di un pentest 17/18

Riferimenti

• Penetration Testing di Georgia WeidmanISBN-13: 978-1-59327-564-8

• OverSecurity.net di Andrea Draghetti• Inforge.com

Altre info su: http://alessandrazullo.it

Alessandra Zullo Le fasi di un pentest 18/18