2. Općenito o penetracijskom ispitivanju

2.1 Što je to penetracijsko ispitivanje sigurnosti sustava?

Penetracijsko ispitivanje (engl. penetration testing), još se naziva i etičko hakiranje (engl. ethical hacking), je metoda s kojom se može procijeniti sigurnost računalne mreže ili računalnog sustava tako da se simuliraju napadi na sustav kakve bi izveo i stvarni napadač. To je aktivna analiza cijelog sustava u potrazi za mogućim sigurnosnim propustima u sustavu, lošoj konfiguraciji sustava, za poznatim i nepoznatim propustima u softveru i/ili hardveru i ostalim slabostima sustava. Osoba koja izvodi penetracijsko ispitivanje postavlja se u poziciju stvarnog napadača, s istim metodama i radnjama pokušavaju se otkriti propusti u sustavu.

Osoba koja provodi penetracijsko ispitivanje sigurnosti naziva se penetracijski ispitivač ili etički haker (engl. ethical hacker). Penetracijski ispitivač je računalni i mrežni stručnjak koji vrši napade na sigurnosni sustav, uz dopuštenje vlasnika sustava, kako bi pronašao ranjivosti i propuste u sustavu koje bi stvarni napadač mogao iskoristiti u svoju korist. Za ispitivanje sustava koriste se istim metodama koje bi koristio i stvarni napadač, ali za razliku od stvarnog napadača ne iskorištavaju propuste u sustavu u svoju korist, nego cijeli postupak prijavljuju vlasnicima sustava.

Penetracijsko ispitivanje relativno je novo područje koje se dosta razvija. U 70-im i 80-im godina prošlog stoljeća penetracijsko ispitivanje sustava provodila je samo vojska i velike kompanije, jer računala i Internet nisu bili rašireni kao danas. Penetracijsko ispitivanje nedavno je postalo popularno područje računalne sigurnosti. Danas većina kompanija, one kojima je to od interese, ispituje sigurnost svojih sustava pomoću penetracijskog ispitivanja i s time osiguravaju prihvatljivu razinu sigurnosti u svojim sustavima.

Rezultat penetracijskog ispitivanja je dobro dokumentiran postupak ispitivanja koji se predaje naručitelju penetracijskog ispitivanja. Na osnovu te dokumentacije donose se odluke na koji način je potrebno unaprijediti sustav, koji je ispitivan, kako bi se otklonili potencijalno opasni propusti koji su pronađeni, te unaprijedila sigurnost samog sustava.

Za provođenje penetracijskog ispitivanja nad sustavom potrebno je dopuštenje vlasnika sustava za sve akcije koje se provode. Prije provođenja penetracijskog ispitivanja potrebno je potpisati razne ugovore, kako kasnije ne bi bilo pravnih posljedica.

Pomoću penetracijskog ispitivanja procjenjuje se stanje sigurnosti sustava, te na osnovu te procjene donose se odluke o otklanjanju sigurnosnih propusta i implementiranju različitih sigurnosnih rješenja, kako bi sustav bio što je moguće sigurniji. Penetracijsko ispitivanje je procjena trenutnog stanja sustava. Već se nakon samog završetka penetracijskog ispitivanja sustava mogu otkriti neki novi propusti i ranjivosti u sustavu. Zbog toga je penetracijsko ispitivanje postupak koji se ne provodi samo jednom nego se taj postupak ponavlja periodički. Period ponavljanja ispitivanja sustava ovisi o specifičnostima sustava koji se ispituje.

Ukoliko se penetracijsko ispitivanje ne provede dobro može imati ozbiljne posljedice na sustav nad kojim se provodi ispitivanje. Može doći do zagušenja sustava, pada sustava ili curenja povjerljivih informacija. Zato je jako bitno da se provede detaljno planiranje prije samog izvođenja penetracijskog ispitivanja.

Ukoliko se penetracijsko ispitivanje ispravno provede ono je jako bitan dio strategije procjene rizika (engl. risk assessment strategy) organizacije. [1]