Läbistustestimine (''Penetration testing'')

Allikas: Teadmusbaas

Läbistustestimine (Penetration testing aka pen testing) on sissetungirünnete imiteerimine turvameetmete toimivuse kontrollimiseks, sageli on ta osa tarkvarasüsteemi vastuvõtu (heakskiidu) või sertifitseerimistestimisest.

Sellise testimisega püütakse leida rakendustest haavatavusi kasutades kahjurtehnikaid, milliseid tavaliselt kasutavad pahatahtlikud häkkerid. Imiteeritud sissetungi testi käigus leitakse üles süsteemi nõrgad kohad.

Testi eesmärk on tarkvarasüsteemis hoitavate oluliste andmete turvameetmete parandamine kõikvõimalike sissetungide vastu. Testijaid, kes selliseid teste teevad kutsutakse eetlisteks häkkeriteks.

Läbistustest näitab, kas süsteemis olemasolevad ja süsteemile rakendatud turvameetmed on piisavlt tugevad turvaintsidentide vältimiseks. Läbistustesti aruande põhjal saab välja töötada ka häkkimise vastaseid meetmeid.

Haavatavuste allikad:
  • Disaini ja arendusvead: Riist- ja tarkvara arenduspuuded võivad põhjustada ärikriitiliste andmete avalikustamist;
  • Vilets süsteemi seadistus: Halvasti seadistatud süsteemis võib esineda ettekavatsematuid lünki, milliseid ründajad võivad ära kasutada;
  • Inimlikud vead: dokumentide mittesoovitud avalikkustamine ja järelvalveta jätmine, koodivead, siseringi ohud, paroolide avaldamine andmepüügi portaalides jne;
  • Internetiühendus: kui süsteem on ühendatud turvamata võrguga (avatud ühendus), siis pääsevad häkkerid sellele ligi;
  • Keerukus: The security vulnerability rises in proportion to the complexity of a system. The more features a system has, the more chances of the system being attacked.
  • Paroolid: Passwords are used to prevent unauthorized access. They should be strong enough that no one can guess your password. Passwords should not be shared with anyone at any cost and passwords should be changed periodically. In spite of these instructions, at times people reveal their passwords to others, write them down somewhere and keep easy passwords that can be guessed.
  • Kasutaja sisestatud andmed: You must have heard of SQL injection, buffer overflows, etc. The data received electronically through these methods can be used to attack the receiving system.
  • Haldus: Security is hard & expensive to manage. Sometimes organizations lack behind in proper risk management and hence vulnerability gets induced in the system.
  • Meeskonnaliikmete koolituse puudujäägid: tulemuseks inimlikud vead ja muud haavatavused;
  • Andmesidevõrgud: mobiilivõrk, internet, vanatüüpi telefonivõrk võivad olla andmete varguse kohad.
Allikad:
  1. Läbistustestimise juhised
  2. Infoturbe ja andmekaitse leksikon veebis