1. Uvod

Računala su odavno postala neizbježan dio našeg života. Računala se koriste u svim aspektima našeg života, kako poslovnog tako i privatnog. Razvitkom tehnologije raste i kompleksnost računalnih sustava. Danas u raznim organizacijama računalni sustavi sastoje se od nekoliko stotina, pa čak do nekoliko desetaka tisuća računala. Spajanjem tih računalnih sustava na Internet, sva računala u njima postaju potencijalna meta velikog broja različitih napada na njihovu sigurnost. Jedino za računala koja nisu spojena na neki tip računalne mreže može se reći da su sigurna, ali od takvih računala nema baš neke prevelike koristi, a i nikada ne postoji 100% sigurnost. Zbog toga je pitanje sigurnosti jedno od najvažnijih pitanja u računalnom svijetu.

Porastom kompleksnosti računalnih sustava raste i kompleksnost konfiguracije sustava. Bilo kakva greška u konfiguraciji bilo kojeg dijela sustava može dovesti do kompromitiranja cijelog sustava. Isto tako, raste i kompleksnost programskih aplikacija za različite potrebe, pokrenute na raznim sustavima. S time raste i mogućnost potkradanja pogreške u konfiguraciji samih aplikacija, a i u programskom kodu aplikacija. Sve to može dovesti do kompromitiranja cijelog računalnog sustava.

Svaki dan otkriva se nekoliko novih sigurnosnih propusta u različitim računalnim sustavima i aplikacijama. Godišnje se otkrije nekoliko stotina kritičnih sigurnosnih propusta. Napadi na sigurnost računalnih sustava postaju sve sofisticiraniji i sve su teži za detektiranje. Postoji veliki broj, besplatnih, alata na Internetu koji omogućuju nekome tko i nema baš preveliko informatičko znanje da kompromitira računalni sustav u kojem postoji neki od sigurnosnih propusta. Zbog postojanja takvih alata još je više potrebno voditi brigu o sigurnosti računalnih sustava, jer netko tko nema pojma o računalnoj sigurnosti jednim klikom miša može kompromitirati taj ranjivi sustav.

Preporučena praksa je da se periodički provodi ispitivanje sigurnosti računalnih sustava kako bi se razina sigurnosti računalnih sustava držala na prihvatljivoj razini. Tijekom tog ispitivanja provodi se sigurnosna analiza u potrazi za svim potencijalnim sigurnosnih propustima u računalnim sustavima. Jedna od metoda za provođenje ispitivanja sigurnosti u računalnim sustavima je penetracijsko ispitivanje sigurnosti u računalnim sustavima. Penetracijsko ispitivanje sigurnosti je odličan alat za otkrivanje sigurnosnih propusta u računalnom sustavu. Penetracijsko ispitivanje omogućava da se ispitivani sustav vidi na način na koji ga vidi i stvarni napadač. Izvođenje penetracijskog ispitivanja ne povećava razinu sigurnosti u računalnom sustavu koji se ispituje. On omogućava samo uvid u trenutno stanje sigurnosti računalnog sustava. A rezultati penetracijskog ispitivanja koriste se kako bi se provele potrebne akcije da se uklone svi pronađeni sigurnosni propusti, te da se sigurnost računalnog sustava drži na prihvatljivoj razini. Penetracijsko ispitivanje nije stvar koja se jednom obavi i više nikada se ne obavlja. Penetracijsko ispitivanje se provodi periodički, kako bi se nadgledalo sigurnosno stanje računalnog sustava, te kako bi se ono držalo na prihvatljivoj razini.