Det är vanligt att de som övervakar systemen har övervakningssystem och trafikregistreringssystem för att skydda företag och kontrollera vad som händer i datanäten.
Vad är penetrationstester?
Ett penetrationstest, även känt som pen-test, är en teknik som används för att utvärdera säkerheten i en IT-miljö genom att simulera ett angrepp från externa hot. Syftet är att identifiera sårbarheter och hitta sätt att exploatera dem, så att organisationen kan åtgärda problemen och förbättra sin säkerhet.
Med ökande sofistikering hos cyberattacker, där hackare använder virus, maskar och trojaner för att ta sig in på företagsnätverk, har regelbundna penetrationstester blivit avgörande för att skydda kritisk infrastruktur.
Hur görs penetrationstester?
Vid penetrationstester letar man efter sårbarheter i det lokala datornätverket. Penetrationstest kan genomföras på flera olika sätt, men den vanligaste metoden är att använda verktyg för automatisk sårbarhetsupptäckt och manuell undersökning. En pen-test kan också inkludera socialengineering, där den som attackerar försöker övertala anställda att lämna ut känslig information, och phishingangrepp, där användare luras att lämna ut information till en attacker som poserar som en pålitlig källa.
Typer av penetrationstester
White Box-tester
Vid white box-tester har testarna tillgång till omfattande information om målsystemet, inklusive:
- Källkod för applikationer
- Nätverkskartor och infrastrukturdetaljer
- Designdokumentation
- Intervjuer med utvecklare och analytiker
Black Box-tester
Black box-tester simulerar ett realistiskt scenario där angriparen saknar förkunskap om systemet. Detta är den vanligaste formen av penetrationstester som organisationer beställer.
Reverse Shell: När en maskin ansluter till en annan maskin och vidarebefordrar sin kommandotolk till destinationen. Detta är vanligt förekommande i penetrationstester och kan indikera att en attack pågår.
Kill Chain: En modell från det militära som används för att identifiera och förebygga dataintrång genom att förstå attackprocessen och stoppa den i något skede.
Vilka penetration testing tools används
Webbapplikationspenetration
- Burp Suite Pro: Omfattande plattform för webbapplikationssäkerhetstester
- OWASP ZAP: Open-source verktyg för att hitta sårbarheter i webbapplikationer
- Nikto: Webbserver-scanner som testar för farliga filer och konfigurationer
- SQLMap: Automatiserat verktyg för att upptäcka och exploatera SQL-injektionsfel
- W3AF: Web Application Attack and Audit Framework
Mobilapplikationspenetration
Android:
- MobSF (Mobile Security Framework): Automatiserad säkerhetsanalys
- Frida: Dynamisk instrumenteringsplattform
- APKTool: Reverse engineering för Android-applikationer
- Drozer: Säkerhetstestning av Android-applikationer
iOS:
- MobSF: Stöder även iOS-applikationer
- Frida: Fungerar på både Android och iOS
- Objection: Runtime mobile exploration toolkit
- iOS Hook: För att analysera iOS-applikationer
API-penetration
- Postman: För API-testning och dokumentation
- Insomnia: REST API-klient för testning
- Burp Suite Pro: Innehåller kraftfulla API-testfunktioner
- OWASP Amass: För att upptäcka API-endpoints
Säker kodgranskning
- SonarQube: Statisk kodanalys för att identifiera säkerhetsbrister
- Snyk: Identifierar sårbarheter i open source-komponenter
- Semgrep: Statisk analysverktyg för säkerhet
- Checkmarx: Företagslösning för statisk kodanalys
- Veracode: Molnbaserad applikationssäkerhet
Thick Client-penetration
- Fiddler: HTTP-proxy för att analysera webbtrafik
- Process Explorer: För att analysera processer i Windows
- dnSpy: .NET-assembly-editor och debugger
- Wireshark: Nätverksprotokollanalysator
Nätverkspenetration
- Nmap: Den mest använda port-scannern för nätverksupptäckt
- Metasploit Framework: Världens mest använda penetrationstesting-ramverk
- Nessus: Sårbarhetsscanner för nätverksenheter
- OpenVAS: Open source sårbarhetsscanner
- Netcat: ”Schweiziska arméknifen” för nätverksverktyg
Molnsäkerhet
- Prowler: AWS säkerhetsbedömning
- ScoutSuite: Multi-cloud säkerhetsaudit
- CloudSploit: Molnsäkerhetskonfiguration
- Pacu: AWS exploitation framework
Containersäkerhet
- Trivy: Sårbarhetsscanner för containers
- Aqua Microscanner: Containerbildsäkerhet
- Clair: Statisk analys för containrar
- Docker Bench: Säkerhetskonfiguration för Docker
Penetrationstestning med Rasberry Pi (W42)
Det går att använda Rasberry Pi och annan hårdvara som penetration testing platform (Kali och Arch Linux) och network security device (Firewall och IDS system med Arch Linux). Human Interface attacker (HID) använder Arduino och skräddarsydd WiFi med NodeMCU Keylogger attack i Arduino. Exempel på verktyg som kan användas:
- Metasploit Världens mest använda penetrationstesting framework som finns som open source
- John the Ripper – password cracker som hittar svaga lösenord i Unix
- Jumbo
- NagiosPi – enklare server monitoring för Rasberry Pi
- NodeMCU – utvecklingskort och utvecklingskit som bygger på open-source
- Arch Linux – lightvikts linux version
- Distro
- Snort – open source network intrusion detection system (
NIDS) för Windows och Unix. Security Onion Operating System är baserad på Unixsystemet Ubuntu och innehåller flera olika säkerhetsverktyg som Snort IDS, Suricata, Bro, OSSEC, Sguil, Elsa, Networkminer och Xplico.
- Snort – open source network intrusion detection system (
- NextCloud -open source file sharing och kommunikationsplattform
Port skanning
En port scanner är en snabb metod både av systemadministratörer och hackare att undersöka vilka typer av system som körs på ditt nätverk, och det är en av de vanligaste metoderna att säkra upp men också hacka sig in på nätverket. Bestäm vad som ska vara tillgängliga på ditt nätverk utifrån Internet, och använd kombinationer av brandväggsregler för att stänga ute och säkra upp allt som inte hör hemma på nätverket.
Ett relativt nytt verktyg för att skanna portar är Scanplanner som är ett webbaserat verktyg för att göra penetrationstester och som man kan nå via proxyservrar.
Websäkerhet
OWASP Nettacker
Ett projekt för att automatisera informationsinsamling och sårbarhetsscanning med funktioner som:
- IoT-skanning
- Python multitrådig nätverksskanning
- Upptäckt av SCADA-system och andra industriella kontrollsystem
- Brute force-testning av tjänster
- HTTP/HTTPS-fuzzing
LDAP-penetrationstester
LDAPPER är ett specialiserat verktyg för att testa LDAP-servrar genom:
- Prestandatester med stora mängder LDAP-anrop
- Belastningskapacitetstester
- Säkerhetsbedömning av Secure LDAP-implementationer
Lösenordskrackning
- John the Ripper: Klassisk lösenordskrackare för Unix-system
- Hashcat: Avancerad lösenordskrackare med GPU-acceleration
- Mimikatz: Verktyg för att extrahera lösenord från Windows-minne
Github länk: https://lnkd.in/emA42n4
Kill chain
Kill chain är en modell som kommer från det militära för att identifiera och förebygga dataintrång och förstå själva processen. Modellen identifierar aktiviteter och faser för att attacken ska kunna uppnå sitt mål. Genom att stoppa attacken i något skede bryter man av hotet från attacken.
SQL injektions
Webbservrar är ofta sårbara för sql-injektions vilket kan vara bra att testa. Andra vanliga säkerhetshot är cross site scripting, cross site injection, felaktiga konfigurationer, broken authentication eller att man använder svag kryptering.
SEO-bevakning av länkar
Något som har ökat det senaste året är negativ seo dvs att man skickar negativa länkar mot en viss webbplats vilket innebär att synligheten på Google minskar betydligt. Många företag missar att bevaka de inkommande länkarna vilket kan innebära stora risker för företag som har sin huvudsakliga verksamhet på nätet. Det finns företag som skickar länkar från sajter som har virus på sig eller som har en stor mängd med samma ankartext från sajter med svag trovärdighet. Resultatet kan vara förödande.
Det finns olika typer av verktyg beroende på vad du ska testa:
Kolla om din email har blivit hackad: Det finns en tjänst Haveibeenpwned där du kan fylla i din email för att se ifall den förekommer i något hack eller dataintrång.
https://haveibeenpwned.com
Vid bankhacking har man använt penetrationsverktyg som PowerShell och Mimikatz och kombinerat det med malware verktyg som Adwind.
Exploits:
- Metasploit -mycket populärt verktyg som används både vid sårbarhetsanalyser och penetrationstester
- Core Impact
Webb
- IBM Rational Appscan
- W3AF
- Det finns scanrar som kollar av de större open-source verktygen som Joomla Security Scanner
Övervakning
Ett övervakningsverktyg är Nagios som är gratis att använda och som kan ge dig alerts vad som händer med en webbplats.
Om du kör WordPress så finns det exempelvis WP-scan för att kolla av din sajt och olika verktyg för att få automatisk uppdatering av plugins och teman.
Det är viktigt att att penetrationstester bör göras med tillstånd från den organisation som äger IT-miljön, eftersom en obehörig penetrationstest kan räknas som brottslig verksamhet.
Läs mer om olika verktyg:
http://sectools.org/tag/new/