Vad är ett pentest och hur kan det öka säkerheten?

Henrik Petterson 26 maj, 2021

Introduktion

Testar säkerheten i system

I den här artikeln kommer du att få mer information om penetrationstest. Vem det är som utför testen, hur det går till, vilka olika sorters tester som finns och vad man kan förvänta sig att få ut av det. Vi kommer också att kort beröra hackaren och dess profil och koppling till pentestaren.

Men innan vi grottar ner oss i det är värt att förstå bakgrunden och hur de olika beskrivningarna som man använder hänger ihop med varandra. Vi börjar med ordet pentest.

Namnet är en förkortning på engelskans penetration test. På svenska brukar man använda orden penetrationstest, pentest eller pen test. De två orden, penetration och test förklarar tillsammans vad ett för test det är.

Penetration är synonymt med genomträning och test är ett försök. Med andra ord pratar vi om ett försök att tränga igenom något. När vi pratar om Pentest kopplat till IT så menar man ett försök till att tränga igenom ett system, en handling som också kan gå under benämningen hacking.

Ordlista

Pentest, penetrationtest, pen test
Försök att tränga igenom ett system

Etisk hackare/white hat hacker
Med lov försöker tränga igenom ett system.

Oetisk hackare/black hat hacker
Olovligen försöker tränga igenom ett system. Genomför cyberattacker för egen vinst.

Grey hat hacker
En person som både skyddar ett system och angriper ett annat.

Olika typer av hackare

Hackare och de tre hattarna

Ordet hackare har med tiden skiftat från att beskriva en person med avancerade datakunskaper till att på senare tid stå för någon som utnyttjar sårbarheter i någon form, ofta för att bryta sig in i ett system.
Inom hackingkulturen skiljer man på godsinnade och illasinnade hackare. Man brukar säga att hackaren antingen bär en vit hatt (utför attacker med lov), en svart hatt (utför attacker utan lov) eller en grå hatt (utför attacker med lov, men utför också attacker utan lov).
Till skillnad från en pentestare som alltid förknippas med en vit hatthackare (etisk hackare) har ordet hackare (som ensamt ord) fått en ganska negativ klang på senare tid och syftar oftast numera till en svart hatthackare.

Testet

Nyfiken på hur sårbarheter utnyttjas i praktiken?
Sidan Hacksplaining visar bland annat hur SQL Injection (en av många potentiella sårbarheter) fungerar i praktiken. https://www.hacksplaining.com/

Syftet med ett penetrationstest är att identifiera sårbarheter som potentiellt skulle kunna utnyttjas vid en cyberattack. Sårbarheterna som identifieras av pentestaren patchas vid ett senare tillfälle av tekniker. Det man får ut av ett pentest är ett kvitto på vilka sårbarheter som behöver åtgärdas för att undvika intrång.
Inget system är säkert. Även om systemet har blivit testat av en penetrationstestare och åtgärdat så innebär det inte att det är 100% säkert. 2020 upptäcktes runt 50 nya CVE:er (Common Vulnerabilitys and Exposures) per dag. Det man strävar efter är att göra det så svårt som möjligt för en angripare att lyckas med sin attack. Har man en miljö som är förberedd på en cyberattack låter man angriparen enbart ta med sig värdelös information. (honeypots).

Sårbarheter

Sårbarheter kan ofta övergå till säkerhetshål. Om hålet inte åtgärdas kan det bli en väg in i systemet för den som utnyttjar det. Säkerhetshål finns i alla programvaror och system men kan också skapas genom till exempel ett felkonfigurerat system eller via svaga lösenord. En enkel förklaring är att en sårbarhet eller ett säkerhetshål är alla kryphål som en angripare kan använda för att ta sig in. Vill man dra det till sin spets kan medarbetare, olåsta dörrar, och e-postlänks-klickande medarbetare också betraktas som sårbarheter vilka kan öppna upp säkerhetshål.

Penetrationstestet

Olika typer av test

Penetrationstest delas in i tre olika typer. Blackbox, greybox och whitebox. De olika typerna beskriver hur mycket information och åtkomst pentestaren får till systemet som ska testas. Man skulle kunna säga att boxarna till viss del anger nivå och omfattningen av pentestet. Ju mer åt vitt desto mer omfattande och tidskrävande test.

Black box

Den här varianten av penetrationstest ger penetrationstestaren samma förutsättningar som den genomsnittliga hackaren. Penetrationstestaren vet ingenting om systemet som ska testas och saknar därför källkod, arkitektur och karta över nätverket. Det enda som penetrationstestaren vet är i bästa fall IP-adressen till det mål som ska testas.

När det gäller black box pentest så ställs det höga krav på penetrationstestarens förmåga att analysera systemet och den information som finns att tillgå. Ofta används ett sårbarhetsskanningsverktyg i ett första steg för att hittar sårbarheter i systemet.
Blackbox testerna är den snabbaste typen av penetrationstest men också den varianten som står och faller på den person som utför pentestet. Det krävs att pentestaren besitter hög kunskap om system, rätt verktyg och hög kreativitet för att få ut ett bra resultat med relevanta åtgärder.

Grey box

Pentestaren har i den här varianten av pentest tillgång till intranätet, eller det interna nätverket och ofta tillsammans med en del dokumentation kring systemet.

Syftet med en Grey box är att testa system som håller den känsligaste typen av information, med andra ord testa den platsen som lagrar det som är mest skyddsvärt. Eftersom den som utför penetrationstestet har en detaljerad bild över nätverket är denna form av pentest väldigt fokuserad kring ett visst mål vilket gör den extremt effektiv. Tid läggs på att skydda det som är skyddsvärt.

White box

Pentestaren har tillgång till i princip all information om systemet. Hur nätverket är uppbyggt och vilken bakomliggande mjukvara som finns, källkod och dokumentation. Den här typen av penetrationstest är den mest omfattande och tidskrävande.

White box handlar det mer om att identifiera känsliga punkter där sårbarheter finns och därefter hitta säkerhetshålen. Så till skillnad från Blackbox och Grey box så handlar White box inte lika mycket om att försöka hacka sig in, utan mer om att analysera och hitta vägar både från insidan och utsidan.
I ett Whitebox penetrationstest jobbar inte allt för sällan utvecklare och systemansvariga tillsammans med pentestaren för att få ut maximalt med säkerhetshöjande åtgärder i mjukvara och system. Jämfört med Black och Grey box är White box den långsammaste, mest omfattande men också den som potentiellt kan ge mest skydd.

Hackaren

Vem är personen bakom intrången?

Nu har vi gått igenom det mesta inom pentest, en intressant fråga som många ställer sig är: ”vem är hackaren?”
Det enkla och det kanske mest korrekta svaret på den frågan är:
”Vem som helst kan vara en hacker.”

Men tittar vi närmare på den generella hackern så har den en viss framträdande profil. Nej, det handlar inte om den klassiska luvtröjan i ett mörkt rum. Hackern har en viss typ av profil, men du kommer aldrig att kunna gissa dig till vem som är en hacker baserat på utseendet.
Det man kan säga är gemensamt för hackare är deras intresse för datasystem och säkerhet. För att bli en skicklig hacker krävs både ett oerhört tålamod, nyfikenhet och en vilja att lära. Till det har de bästa hackarna också en stor portion av kreativitet. När hela boxen är skyddad gäller det att tänka utanför den, kanske utforska ett system eller en leverantör som är ansluten och kan låsa upp boxen från insidan.

Gäller samma för pentestare? Absolut!
Skillnaden mellan en pentestare och en hacker är mindre än vad många tror. Det handlar mest vad som motiverar mest och vilken sida, eller hatt som personen valt att bära. I många fall är det mycket fördelaktigt att använda sig av en pentestare som en gång varit en svart hatthackare eftersom den då tänker ur ett angriparperspektiv.

Jag hoppas att den här artikeln om pentest hjälpte dig på något sätt. Har du frågor om artikeln eller pentest är du välkommen att höra av dig.

Henrik Petterson
Senaste inläggen av Henrik Petterson