Digitando su internet il termine "Penetration Test" o "P-Test", viene fuori una esagerazione di risultati, molti dei quali incomprensibili ed altri troppo complessi e specifici poterli prendere in considerazione.
Mi piacerebbe spiegare in termini semplici e comprensibili cosa sia il P-Test e la relativa applicazione nell'ambito del GDPR.
Cercherò di darne solo qualche accenno nell'ambito della Sicurezza Informatica in quanto il discorso si complica con problematiche troppo tecniche e specifiche sulle varie casistiche.
Descrizione del P-Test
Il test di "penetrazione informatica" è un test che viene eseguito per capire quanto sia vulnerabile un Sito, un Computer, un Server, una Rete o qualsiasi altro dispositivo informatico.
Viene anche nominato "Vulnerability Test", in quanto il risultato pratico che ci si aspetta è proprio quello di capire "quanto siano vulnerabili le nostre apparecchiature informatiche".
In pratica, durante il test, vengono applicate una serie di procedure e programmi che cercano di entrare dentro un sistema informatico cercando di sfruttarne le "vulnerabilità conosciute": per quelle sconosciute ci vogliono gli Hacker.
Ad esempio, i Virus per computer sfruttano proprio le vulnerabilità dei Sistemi Operativi o degli operatori che li usano (ad esempio il termine "fishing" è proprio un "adescamento" dell'operatore).
Il tipo di test da effettuare dipende dal tipo di sistema che vogliamo analizzare, come ad esempio un Sito web, un Server, una Rete, una Wifi: per ognuno di essi è necessario eseguire azioni diverse in "posizioni" diverse.
Ovviamente si cerca di eseguire tale test in maniera "non distruttiva" cioè senza entrare effettivamente nel sistema "rompendo" le barriere difensive, ma osservando una serie di comportamenti del sistema stesso mandando dei dati "particolari" e osservandone il comportamento.
Tuttavia, entrando nell'ambito di Sicurezza Informatica, vi possono essere anche test "distruttivi", cioè test che modificano la situazione in essere del dispositivo analizzato, e che, per tale motivo, prevedono delle azioni preliminari di Backup.
Piccolo esempio tecnico-storico
Molti sistemi rispondono sempre e velocemente a dei brevi "messaggi di rete" (chiamati "ping") per dire "sì, ci sono !";
tuttavia se pensate di poter mandare una enormità di "ping" ad ogni secondo (magari in maniera automatica da tanti computer diversi), tali sistemi saranno talmente occupati a rispondere a ciascun messaggio, da non riuscire ad ascoltare altri utenti per cui sembreranno "bloccati". Molto tempo fa diversi siti importanti sono stati bloccati da "attacchi" simili o analoghi, che provocano quello che si chiama "DOS" (Denial Of Service, cioè "blocco del servizio"). Adesso qualsiasi Router Internet (anche semplice) possiede la capacità di evitare questo possibile problema.
Esecuzione del P-Test
Vedremo qui di seguito i più comuni test che si possono effettuare, considerando che ognuno può essere eseguito a diversi livelli: da una semplice verifica di base delle vulnerabilità (ad esempio per garantire la Privacy di apparecchiature informatiche o Siti Web che contengono dati Personali Comuni) alle vere e proprie prove di Hacking con strumenti molto sofisticati (per siti o reti contenenti dati molto importanti).
L'esecuzione del test arriva ad una descrizione di tutte le vulnerabilità riscontrate e possibili, in modo che gli esperti del settore vi possano porre rimedio a meno che tali vulnerabilità siano "accettabili" per la tipologia di dati contenuti e per i costi da affrontare per la soluzione.
Tutto è vulnerabile, basta trovarne il punto debole ! E' quindi necessario eseguire delle valutazioni di possibili eventi negativi e dei relativi punti deboli in relazione all'importanza dei dati presenti.
In sostanza, è importante definire quale sia il livello minimo di sicurezza che si intende avere.
Test su Sito Web
Viene effettuato tramite internet sull'indirizzo del sito stesso (www o altro). Dopo aver capito le caratteristiche dei Server sui quali risiede e con quali linguaggi è stato scritto, esso verifica le possibili vulnerabilità del server e del sito stesso tramite dei Plug-in e Bugs conosciuti.
Test su Server o Rete esposti in internet
Quando un Server, un computer, una Rete locale possiedono uno o più accessi da internet, è sempre utile eseguire il test su tali indirizzi di accesso esterni. Tecnici esperti sono in grado di eseguire P-Test, con costi molto alti, senza conoscere preventivamente l'indirizzo esterno ed arrivando al sistema tramite procedure particolari per trovarne l'IP reale e le "porte di ingresso": ad esempio, tutti sanno che in Internet vi sono aziende molto importanti, ma molto spesso risulta estremamente difficile capire dove siano le loro "porte di ingresso" in quanto, normalmente, sono nascoste e poco riconoscibili.
Test interno ad una Rete: se avete una wifi, magari disponibile per gli ospiti, vi potrebbe interessare eseguire un test dall'interno della Vostra rete, per capire cosa potrebbe succedere se l'ospite troppo "curioso", una volta collegato alla Wifi (magari posizionato fuori dall'ufficio se la Wifi è molto potente) cercasse di accedere ai Vostri preziosi dati. Per capire tale vulnerabilità si eseguono dei test interni sui Server, sulle periferiche quali Access Point, Router, Firewall, NAS, ed anche sui PC Client.
Penetrabilità della Wifi
Questo è un test che viene fatto raramente, in quanto vi sono protocolli Wifi e protezioni ormai standard che i tecnici possono gestire per creare già un sistema "su misura" per le vostre esigenze di sicurezza (password di accesso alla rete "importanti", protocolli in cui le password non passano in chiaro, blocchi di accesso su IP, e tante altre interessanti cose).
Il test viene effettuato internamente alla rete (Test Interno), ipotizzando che l'intruso abbia potuto superare la prima barriera (penetrato il WiFi e si trovi a disposizione la rete: in tal modo è possibile anche decidere gli eventuali protocolli di sicurezza da applicare alle WiFi (Access Point) in questione.
Questi sono i test più comuni che normalmente vengono effettuati, ma ve ne sono innumerevoli altri (esempio "sniffing" della rete sul passaggio dati, test su Cloud, test delle VPN, ecc.) dei quali, magari, parleremo in successivi articoli.
Breve Conclusione
Il P-Test deve essere visto, a livello di GDPR, come:
- Test per capire quanto i propri dati possano essere a rischio in relazione alle misure di sicurezza adottate.
- Pur non essendo un aspetto "obbligatorio" del GDPR, è indubbio che si possa considerare come una tranquillità da parte del Titolare del trattamento dati (sempre responsabile "in primis") nei seguenti aspetti:
- Ulteriore comprova di Accountability (affidabilità) da parte del Titolare durante eventuali controlli ai sensi del GDPR, da parte delle Autorità preposte.
- Comprova di Accountability da parte del Responsabile esterno nei confronti del Titolare che conferisce l'incarico.
- Uso della documentazione di Report associata ai Test nel caso di Data Breach, a conferma che il Titolare non solo abbia messo in opera le misure di protezione adeguate, ma anche testato la vulnerabilità ad opera di soggetti esterni qualificati.
- Proposta concreta e qualificata da parte del DPO ai titolari delle aziende assistite.
P-Test e GDPR
La documentazione e la Compliance al GDPR devono essere sempre allineate, così come l'effettuazione periodica della Formazione agli Incaricati.
E' consigliabile anche effettuare dei controlli sulla vulnerabilità dei sistemi, delle reti e dei siti Web:
- Periodici e generici, in quanto vi è una naturale evoluzione delle tecnologie e delle relative sicurezze (e quindi i dispositivi devono essere sempre aggiornati e testati), anche se non cambia niente nel substrato informatico aziendale.
- Mirati, nel momento in cui venga inserito un nuovo Server, cambiato un Firewall, aggiunto o rifatto un Sito Web, o altre variazioni al substrato informatico.
Dopo questa sintetica spiegazione, spero siate in grado di scegliere se, e che tipo di P-Test eseguire per la Vostra tutela.
