Wat is een Pentest?

Een Penetratietest of Pentest is een controle van een of meer computersystemen op kwetsbaarheden. Bij de Pentest wordt gekeken of het mogelijk is om deze kwetsbaarheden ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken. Dit wordt gedaan om inzicht te krijgen in de effectiviteit van het (beveiligings-) systeem en om verbeterpunten te definiëren.

Een Penetratietest vindt om legitieme redenen plaats, met toestemming van de eigenaren van de systemen die gecontroleerd worden, met als doel de systemen juist beter te beveiligen. Een manier waarop dit kan gebeuren is bijvoorbeeld door een team van beveiligingsspecialisten (ethical hackers) te laten proberen om met toestemming van de systeemeigenaar informatie uit het (beveiligde) systeem te benaderen zonder de vereiste toegangsgegevens.

Waarom een Pentest uitvoeren?

Het doel van een Pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden.

De afgelopen jaren ontstaat bij bedrijven steeds meer de behoefte om hun IT-systemen te onderwerpen aan een zogenaamde Penetratietest (hierna spreken we over de: 'Pentest'). Het uitvoeren van een Pentest kan een waardevolle aanvulling zijn om de mate van beveiliging van informatiesystemen te beoordelen.

 

Soorten Pentest

Bij een Penetratietest hoort vaak veel jargon. Vooral de "boxen" zullen bij een gesprek over Pentesting snel op tafel komen: men spreekt van black box tests, grey box, white box en soms zelfs van crystal box en time/budget box tests. Het verschil in het soort test is gerelateerd aan de hoeveelheid kennis en achtergrondinformatie die de tester krijgt. Onderstaand geven we u een korte beschrijving.

  • Black box; een tester heeft minimale voorkennis;
  • White box; een tester krijgt voorafgaande aan de test inzicht in alle aspecten van de systeemarchitectuur;
  • Grey box; tester beschikt een over gedeeltelijke informatie. Dat kan bijvoorbeeld een inlogaccount zijn om te testen of het voor gebruikers met een werkend wachtwoord mogelijk is om misbruik te maken. Bij black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen;
  • Crystal box; de tester beschikt over de broncode van de applicatie en heeft toegang tot alle mogelijke configuratie-informatie;
  • Time box (of budget box); een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren Pentesters in drie dagen komen?

Naast de hoeveelheid informatie die de testers ter beschikking hebben, moet er ook een keuze worden gemaakt over de informatie die het eigen personeel krijgt: worden ze op de hoogte gebracht dat een Penetratietest uitgevoerd gaat worden of blijven ze in het ongewisse?

Voor het verkrijgen van informatie kunnen de professionele testers van Rijpkema IT publiekelijk beschikbare bronnen raadplegen (zoals Internetpagina’s), maar het is ook mogelijk om 'social engineering' toe te passen. Hierbij wordt geprobeerd om informatie te krijgen van medewerkers, door bijvoorbeeld de helpdesk te bellen, door een medewerker om zijn wachtwoord te vragen of door de portier om te praten om het gebouw binnen te komen. Afhankelijk van de doelstelling van de Penetratietest kan social engineering binnen de scope vallen.

Rapportage

De resultaten van de Pentest uitgevoerd door Rijpkema IT worden door ons vastgelegd in de vorm van een rapportage. Globaal rapporteren wij over de onderstaande aspecten:

Managementsamenvatting met belangrijkste bevindingen:

  • De gebruikte applicaties (inclusief versienummer)
  • De parameters die zijn gebruikt bij de tests
  • Het tijdstip waarop de test is uitgevoerd
  • Het IP-adres waarvandaan de test is uitgevoerd
  • Een toelichting per gevonden verbeterpunt


Uiteraard zijn hier andere items aan toe te voegen, dit varieert m.b.t. het soort test dat u als klant wenst dat er wordt uitgevoerd en deze zijn te lezen in de opdrachtomschrijving zoals u die met RijpkemaIT formeel heeft afgesproken voorafgaand aan de test.

 

Strafrecht en vrijwaringverklaringen

Naast de voornoemde technische en tactische aspecten van een Penetratietest zijn er enkele juridische dimensies die aandacht vereisen. Sinds november 2006 omschrijft het wetboek van Strafvordering het delict computervredebreuk als volgt: 
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.

Essentieel in deze omschrijving zijn de voorwaarden voor opzettelijkheid en wederrechtelijkheid. Met wederrechtelijkheid wordt bedoeld dat de handeling in strijd moet zijn met het recht. Dit betekent onder andere dat er geen toestemming is gegeven door de rechtmatige eigenaar van de geautomatiseerde werken. Met opzet wordt bedoeld dat er sprake moet zijn van het oogmerk om wederrechtelijk binnen te dringen.

In het geval van een Penetratietest zal er in beginsel altijd sprake zijn van het met opzet binnendringen in een (beveiligd) systeem zonder de vereiste toegangsgegevens, dit is immers het achterliggende doel van de test! Rijpkema IT zal u daarom - voorafgaand aan het uitvoeren van de Pentest - vragen een vrijwaringsverklaring te ondertekenen, om zo de wederrechtelijkheid aan de daad van de professionele tester te ontnemen.

 

Wilt u een advies, Pentest, onderzoek of audit uit laten voeren?

Rijpkema IT adviseert uw bedrijf graag over de kwaliteit van uw ICT. Hierbij kunt u denken aan onder andere betrouwbaarheid, beschikbaarheid en integriteit. In een algemene ICT-audit voeren wij in een kort tijdsbestek een deskundig, onpartijdig en onafhankelijk onderzoek uit. Zo houden wij uw organisatie een spiegel voor op het gebied van automatisering en bieden we u de instrumenten voor betere prestaties. Een investering die zichzelf terugverdient.

We komen graag met u in contact, bel 0562-712015 of mail info@rit.frl om vrijblijvend te praten over de mogelijkheden en oplossingen.