Testing software: Il Penetration Test di un sistema software

Definizione e caratteristiche del Penetration Test

Il penetration test è un termine spesso circondato da un po’ di confusione, derivante dal fatto che si tratta di un settore relativamente recente e, com’era facile aspettarsi, in rapida evoluzione. Nella sua forma più semplice indica il testing di un dispositivo informatico, di una rete o di un’applicazione web per trovare vulnerabilità che un utente malintenzionato potrebbe sfruttare. Tale processo di valutazione viene definito attivo in quanto i sistemi informatici sono testati concretamente per individuare eventuali problemi di sicurezza, al contrario di un controllo esclusivamente teorico o cartaceo.

Con l’obiettivo principale di determinare le debolezze di sicurezza, il penetration testing è anche utilizzato per verificare la capacità di un’organizzazione nell’identificare e rispondere ad eventuali minacce. Il test, infine, può verificare la conformità di una politica di sicurezza adottata dall’ente e riuscire, in maniera pratica, a sensibilizzare i suoi dipendenti sull’importanza nell’adottare certe tecniche di protezione.
Parte del processo del penetration testing, in particolare il vulnerability assesment, può essere automatizzato attraverso l’utilizzo di applicazioni software che, in un arco di tempo relativamente breve, riescono a testare con una manciata di click migliaia di vulnerabilità note. Parte del prossimo capitolo sarà dedicato alla descrizione di questi software.

Testing software - Il Penetration Test di un sistema software — Testing software – Il Penetration Test di un sistema software

Perché effettuare un penetration test?

Da una prospettiva di business, il penetration testing aiuta a evitare delicate problematiche che potrebbero sorgere all’interno di un’azienda. Vediamo un pò come scongiurarle:
– prevenire perdite finanziare mediante frodi o attraverso le entrate perse a causa di sistemi business e processi inaffi dabili:
– dimostrare una dovuta diligenza e il rispetto nei confronti dei clien ti e degli azionisti. Il mancato rispetto, infatti, può comportare una diminuzione del business dell’organizzazione anche dovuto, in ultima analisi, alla raccolta di cattiva pubblicità:
– proteggere il brand, evitando la perdita di fiducia dei consumatori o degli azionisti e la reputazione aziendale. Una diminuzione del business può essere dovuta, in ultima istanza, anche per mezzo di pubblicità negativa.

Cosa può essere testato con il penetration test?
Possono essere testate tutte le componenti, umane o fisiche, con cui un’organizzazione acquisisce, memorizza e elabora informazioni: i sistemi con cui le informazioni vengono memorizzate, i canali di trasmissione che le trasportano, i processi e il personale che le gestiscono. Esempi di aree che vengono comunemente testate:
– prodotti acquistati al dettaglio: sistemi operativi, applicazioni, database, apparati di rete ecc:
– applicazioni di sviluppo personalizzato, su misura: siti web dinamici, applicazioni interne ecc:
– telefonia: accesso remoto, wardialingl (tecnica, che ai giorni d’oggi trova tuttavia una scarsa applicazione, la quale consiste nell’uso di un modem per scansionare automaticamente una lista di numeri telefonici, alla ricerca di un segnale di portante del modem), ecc:
– wireless: WiFi, Bluetooth, IR, GSM, RFID ecc:
risorse umane: processo di screening, social engineering ecc:
– risorse fisiche: controllo degli accessi, dumpster diving, ovvero l’attività di rovistare nella spazzatura a caccia di documenti contenenti informazioni riservate ecc.

Bisogna dire infine che idealmente, ogni organizzazione dovrebbe aver già effettuato una valutazione dei rischi. In questo modo, sarà già a conoscenza delle principali minacce (come, ad esempio, errori di comunicazione, falle nel sistema di e-commerce, perdita di informazioni confidenziali ecc), ma avrà a questo punto la possibilità di utilizzare il penetration test per identificare eventuali vulnerabilità che fanno riferimento a queste minacce. Nel caso in cui non si sia condotta una valutazione dei rischi, è normale iniziare analizzando le aree di maggiore esposizione, come siti web, portali di posta elettronica e piattaforme di accesso remoto. Il tutto, ovviamente, sarà da decidere in relazione alle effettive esigenze di cui l’organizzazione necessita svolgendo il proprio lavoro.