Che cos’è e a cosa serve il Penetration Test di un sistema?

L’attività di Penetration Test richiede di simulare l’attività di un mal intenzionato e cerca di sfruttare almeno una vulnerabilità per raggiungere il suo fine, ossia prendere possesso della macchina o sistema remoto, anche con metodologie e strumenti non convenzionali. Questa attività può essere condotta sia dall’interno che dall’esterno della rete analizzata.
Tipicamente le attività eseguite dall’interno hanno lo scopo di verificare se esistono possibilità di accedere a file e/o dispositivi in modo inappropriato. Nei pentest, potrebbe essere richiesto di testare non solo le macchine, ma di valutare anche le persone addette a tali macchine; quindi tipicamente si suddivide in test di tipo:

• overt o evidente: i dipendenti, con particolare attenzione a tutte le aree IT (Information Technology), sono a conoscenza dell’attività in corso. In un contesto siffatto non ha senso l’utilizzo di metodologie di social engineering;
• covert o nascosto: si esegue l’attività, con l’autorizzazione dei manager, e all’insaputa dello staff IT. In questa attività, ha senso testare anche la capacità e affidabilità degli addetti alla sicurezza durante un’emergenza e la reale validità delle politiche di sicurezza dell’azienda.

Naturalmente, non è scontato che tale attività porti a garanzie positive. Potrebbe infatti accadere che il tecnico non penetri la macchina in questione, ma questo non significa che la macchina sia al sicuro da attacchi. Anche questa attività, come i Vulnerability assessment, soffre del problema della degradazione.
Da un punto di vista teorico attraverso il social engineering (ingegneria sociale), è possibile penetrare una rete o una macchina con ottimi livelli di sicurezza. In una attività del genere, non siamo interessati a come una rete è stata progettata, ma nemmeno capire qual’è il suo stato attuale. Siamo interessati solo alla ricerca di una vulnerabilità, e qualora non la trovassimo, possiamo sempre basarci sul social engineering.