Wat is een penetratietest?

Een penetratietest, ook wel white-hat-hacking, ethisch hacken of een audit genoemd, is een onderdeel van de veiligheidstesten van een systeem. Hierbij worden bekende kwetsbaarheden getest op het systeem om gaten in de veiligheid te vinden. Deze worden vervolgens gerapporteerd zodat het beveiligingsteam deze kwetsbaarheden kan verhelpen. In het geval van een computersysteem gebeurd dit vrijwel altijd door middel van het updaten naar de nieuwste versie en het bijstellen van de instellingen.

Stappen van een penetratietest

Een penetratietest stelt een product, dienst, systeem of bedrijf open tot mogelijke kwetsbaarheden. Zo zouden de uitvoerders van de test kwade bedoelingen kunnen hebben en systemen kunnen slopen of data kunnen stelen, zouden anderen de uitgevoerde stappen kunnen nadoen om gemakkelijk ook binnen te komen, of kan er op een andere manier iets kapot of verloren raken. Het is daarom van groot belang voor zowel de penetratietester als de eigenaar van het systeem waarop de test uitgevoerd zal worden dat er een juridisch bindende overeenkomst wordt opgesteld. In de meeste gevallen bestaan deze uit de volgende documenten:

• een initieel voorstel vanuit de tester (soms ook via een CVD, zie hier onze CVD) of een initieel plan of aanvraag van de eigenaar
• een document met uitleg over het systeem; dit komt alleen voor bij gespecialiseerde systemen of systemen van zeer grote waarde (denk hierbij aan documentatiestukken)
• een document met regels over welke systemen/objecten wel of niet mogen worden getest (ookwel een Rules of Engagement genoemd). Dit bevat ook IP-adressen, diensten en klanteninformatie
• en tot slot een contract met daarop welke werkzaamheden door wie worden uitgevoerd, en wie hierbij de verantwoording draagt

Of inderdaad ook al deze documenten worden opgesteld, of juist meer, hangt af van de klus, het bedrijf en de potentiele schade die kan worden aangericht.

Soorten penetratietest

Daarnaast zijn penetratietesten nog te verdelen in twee groepen; de digitale penetratietest (ookwel ethisch hacken genoemd) en de fysieke penetratietest (ookwel inbraak oefening genoemd).

Digitale penetratietest

De digitale penetratietest staat bekend om het typische hacken. Denk aan een spionagefilm en je krijgt er gelijk een beeld van. Een (vaak) man, die vanuit een net iets te donkere kamer, turend naar een beeldscherm met groene tekst, die in een hoodie zo snel als mogelijk op een toetsenbord tikt. Totdat er met een kreet door de porto de woorden: "I'm in!" komen.

De werkelijkheid helaas is iets minder charmant. Meestal wordt door een team van erg gespecialiseerde mensen over de loop van maanden een kwetsbaarheid gevonden of ontworpen. Deze kunnen zij vervolgens gebruiken in een test naar andere systemen, waarna zij bij succesvol indringen de juiste stappen kunnen aanwijzen tot het verhelpen van de kwetsbaarheid. Daarnaast kunnen eerder gevonden (en gepubliceerde) kwetsbaarheden worden getest om te kijken of jou systeem hier gevoelig voor is. Hierbij is de gedachte niet direct om in te breken, maar eerder om te testen op het kunnen van de kwaadwillenden, om jou tegen juist deze bekende kwetbaarheden en exploits te weren.

Fysieke penetratietest

Een fysieke penetratietest daarentegen speelt zich amper tot niet af op computerschermen. Hierbij wordt er in de echte wereld gekeken naar kwetsbaarheden in bijvoorbeeld deuren, beveiligingssystemen en ruimtes, om in de schoenen van een kwaadwillende inbreken te lopen. Dit is in de huidige wereld een erg overkeken vorm van veiligheidstesten. Juist ook deze vorm van veiligheid zou in acht moeten worden genomen. Want waarom zou een dief die jouw gegevens uit een kantoor wil stelen de moeite doen om door de nieuwste digitale beveiligingssystemen te doorbreken, wanneer diezelfde informatie ook in de papierbak te vinden is. Van die ene collega die net niet geduldig genoeg is en per ongeluk twee kopietjes heeft gemaakt van de jaarcijfers, waarvan hij er een maar heeft weggegooid. Of die computer van de baas, met toegang tot alle bestanden, heel goed beveiligd tegen alle digitale aanvallen. Die zou zeker een week duren om te kraken. Dat is natuurlijk geen probleem voor de dief die deze s'nachts onder zijn arm mee naar buiten heeft genomen omdat de voordeur niet op nachtslot zat.

Er is in de echte wereld zo veel mogelijk om gegevens, systemen en objecten te stelen of vernielen. En toch zijn mensen hier het minst mee bezig. Vanuit een onterecht gevoel van veiligheid, het; "dat zal mij toch niet gebeuren"-denken. Maar juist in de echte wereld zouden mensen moeten starten met hun veiligheids plannen. Want wie met een goede smoes ergens binnen weet te komen, loopt weg met de grootste buit. En dat is nu net wat een fysieke penetratietest blootlegt.