Знаменитое “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант “penetration testing“, конечно, не имеет ничего общего с фильмами эротического жанра, но сюжет самого процесса неуловимо близок к этому стереотипному оригиналу.
Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников” (или “секурити” (((-: ). По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)
Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас новорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.
Разницу между “пентестом” и “аудитом” объяснить достаточно просто.
Аудит информационной безопасности начинается с анализа рисков и угроз информационной безопасности. Он призван выявлять наиболее опасные угрозы с точки зрения системы защиты. Аудит должен дать вразумительный ответ на вопрос “если где-нибудь взломают защиту, то где будет больнее всего для бизнеса?”. Именно эти места “залатывают” в первую очередь.
Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача — ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.
К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение — необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно — его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей — сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.
Именно здесь кроется самая большая ошибка — настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.
Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс — настоящий state of the art. Да еще и весьма трудоемкий — ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.