Vi är intresserade av att penetrationstesta vår hemsida, hur ser processen ut?
Innan vi utför något säkerhetstest erbjuds alltid ett sekretessavtal om ni som kunder är intresserad av det. Vi lämnar självklart garantier att era uppgifter inte sprids oavsett sekretessavtal eller ej men vi erbjuder alltid ett kostnadsfritt sekretessavtal.
Efter det kommer vi överens om vad som ska testas, en tid när säkerhetstestet ska ske och vi byter även kontaktuppgifter med er support. Har ni en stabil server/servrar kommer ni inte märka säkerhetstestet annat än i era loggar, om servern är underdimensionerad kan latensen(svarstiden) öka något. Om hemsidan eller webbapplikationen ligger på ett webbhotell kontaktar vi även dem för att informera att ett säkerhetstest kommer att ske. Er hemsida testas sedan i princip mot alla kända säkerhetshål som berör webbapplikationer och hemsidor. Testet varar vanligtvis runt sex timmar men kan vara längre om det är en stor hemsida. När testerna är klara kontrolleras säkerhetsbristerna manuellt och eventuella säkerhetsbrister sammanställs i två dokument som sedan skickas lösenordskyddat på mailen eller med traditionell brevpost.
Dokumenten är dels en teknisk rapport men även en “executive summary” som belyser säkerhetsbristerna som identifierats och vad de kan leda till utifrån ett icketekniskt perspektiv. Den tekniska rapporten är uppdelad efter hur allvarliga hoten är som identifieras. Kategorierna är hög säkerhetsrisk, medelstor säkerhetsrisk, bör kollas upp och informativt. Det går att läsa mer om säkerhetsbristerna under Tjänster -> Säkerhetsbrister eller klicka här. Rapporten kan ni sedan skicka vidare till en extern webbutvecklare eller om kompetens finns ordna själva. Behöver ni hjälp med att ordna säkerhetsbristerna finns vi självklart där för att hjälpa er. Läs mer under “Konsultation kring säkerhetsbrister“.
Varför ska vi bry oss om att penetrationstesta?
Personer är idag försiktiga med att ge ut sina uppgifter på nätet på grund av risken för identitetsstöld som kan leda till bedrägerier. Användare på sidan känner sig säkrare om hemsidan är testad. Enligt Brottsförebyggande rådet, Brå, har id-bedrägerier ökat med 200%. “Id-kapning har seglat upp som det vanligaste bedrägeribrottet. Under 2012 drabbades 65 000 svenskar som sammanlagt blev av med 2,7 miljarder kronor enligt kreditupplysningsföretaget UC.”
Jag har hört av andra att automatiserade tester inte är lika bra som manuella?
Att ett automatiserat test inte klarar att specialskriva kod för att ta över en specifik server råder det ingen tvekan om. Däremot så utgår penetrationstestning från relativt likvärdiga tillvägagångssätt varje gång. Det viktigaste är att ett automatiserat säkerhetstest är rätt konfigurerat och att informationen som fås fram kan tolkas. När stora och specifika system ska testas krävs det ofta säkerhetsexperter som använder sig av manuell testning. Däremot när det gäller webbapplikationer och hemsidor går det att automatisera det mesta. Om en penetrationstestare skulle sitta och göra allt manuellt skulle denne i en klar majoritet av alla fall skriva samma kod med ytterst små modifikationer som till exempel en annorlunda URL. I detta läget är det inte ekonomiskt försvarbart att inte automatisera.
Hur avgör ni vilka hot som är hög säkerhetsrisk, medelstor säkerhetsrisk, bör kollas upp och informativt?
Vi utgår från ett system som liknar cvss, common vulnerability scoring system. De avgörande faktorerna är hur lätt det är att få åtkomst, vilken typ av skada säkerhetsbristen kan orsaka och om det finns dokumenterade sätt att exploatera säkerhetsbristen på.
Har Sec24 något samband med Offensive Security?
Sec24 äger domänen offensivesecurity.se men det är inte att förväxla med den amerikanska firman Offensive Security Ltd som har domänen http://www.offensive-security.com/. Däremot använder vi verktyg från Offensive Security, bland annat operativsystemen Kali och BackTrack som är anpassade för penetrationstest.