Ma che cosa fa un penetration tester?

Nell'immaginario collettivo un penetration tester di professione lo si associa alla figura cinematografica dell'hacker, una sorta di lupo solitario che batte velocemente su una tastiera, in una stanza buia, che sopravvive con caffeina e tranci di pizza fredda e, ovviamente, fa cose nefaste indossando una felpa con cappuccio! Ma è davvero così? Non proprio. Quelli di noi che fanno questo mestiere lo sanno bene. Un pentester ricopre molti ruoli, deve essere tecnicamente preparato ma anche avere competenze trasversali come l'interazione con i clienti e il saper redigere un raport ben scritto. Il più delle volte lavora a distanza nella comodità della propria casa. Ma quello che vorrei sottolineare è l'aspetto più importante: un pentester lavora quasi sempre in una squadra.

Ed è proprio per questa attitudine al lavoro di gruppo che è necessario pensare ai modi in cui possiamo essere un giocatore efficace ed efficiente.

Un giorno da penetration tester

Siamo spesso considerati hacker etici, il che è vero, ma siamo anche consulenti che svolgono una varietà di attività, scrivono lunghi rapporti e interagiscono con i clienti tramite telefonate, e-mail e debriefing.

7:15

In molti casi lavoro a casa da remoto, uno dei grandi vantaggi di questa professione. Mi alzo con sufficiente anticipo prima di iniziare la giornata. Faccio colazione, leggo qualche news e sono pronto per partire alle 8 del mattino.

8:00-18:00

Non esiste una giornata tipo, tutto dipende dall'obiettivo concordato col cliente, che comporta un'ampia varietà di compiti.

Scansione delle vulnerabilità - Per la scansione delle vulnerabilità utilizziamo strumenti come Nessus o scripts realizzati dal nostro team. Esaminiamo i risultati e forniamo un rapporto al cliente in ordine di importanza delle patch. È importante notare che questa attività è passiva, non comprende tentativi di attacco e penetrazione. I clienti spesso scelgono scansioni di vulnerabilità quando sono tra i test di penetrazione e/o la redazione dei requisiti di conformità.

Test di penetrazione di una rete esterna - Un test di penetrazione esterno è il punto in cui un hacker etico tenta di entrare in una rete da Internet. Questo test serve a emulare un attacco che può avvenire in qualsiasi momento e da qualsiasi luogo. Oltre alla scansione delle vulnerabilità della rete esterna, tentiamo anche di verificare e sfruttare le potenziali vulnerabilità rilevate. Sfruttiamo gli elementi trovati durante la raccolta di informazioni, come le credenziali dell'account che sono state mostrate in precedenti violazioni della sicurezza.

Test di penetrazione della rete interna - Un test di penetrazione interna è il punto in cui un hacker etico esegue il test all'interno di una rete. In questo scenario possiamo presumere che abbiamo violato il perimetro come un "bad guy" e che ora siamo all'interno della rete, cercando di individuare informazioni preziose e di compromettere l'intera rete, se possibile. Questi test sono fortemente focalizzati sui test di penetrazione di Active Directory e richiedono un toolkit molto diverso rispetto ai test esterni.

Test di penetrazione delle applicazioni Web - E' generalmente il test di un sito Web, sebbene possa anche essere personalizzato per applicazioni interne. Ci concentriamo sull'utilizzo del framework e della metodologia OWASP (Open Web Application Security Project) per testare le applicazioni client. Gli attacchi comuni includono SQL injection (SQLi), Cross-Site Scripting (XXS), XML External Entities (XXE) e molto altro ancora.

Test di penetrazione wireless - Un test di penetrazione wireless è una valutazione delle reti wireless di un cliente. Ci viene assegnato il compito di valutare se possiamo ottenere l'accesso a una rete personale o aziendale WPA2. Abbiamo anche il compito di valutare le reti guest per vedere se siamo in grado di identificare eventuali file o server sensibili come guest e/o accedere a posizioni nella rete riservate.

Ingegneria sociale - Un altro compito che ci viene richiesto è l'ingegneria sociale. Può essere realizzato sotto forma di phishing, vishing e altre tecniche identificate dal cliente. Ad esempio, potremmo chiamare l'help desk fingendo di essere un utente finale e chiedendo una reimpostazione della password. Potremmo anche eseguire una campagna di phishing contro l'intera organizzazione per vedere quante persone fanno clic su un determinato link e quante persone ci inviano informazioni sensibili.

Red Teaming - Una valutazione del Red Team simula un attacco avanzato contro un cliente. Queste valutazioni hanno lo scopo di essere furtive in natura e possono richiedere mesi per essere completate. Spesso, una valutazione del Red Team include un'attività di scansione minima o nulla e un'elevata quantità di ingegneria sociale. L'obiettivo è simulare gruppi come APT (Advanced Persistent Threats) ed esfiltrare le informazioni sensibili dall'organizzazione. È molto diverso dalle tipiche valutazioni basate sullo scanning dell'infrastruttura IT e sullo sfruttamento delle vulnerabilità eseguite dalla maggior parte dei tester di penetrazione.

Fine della giornata!

Queste sono brevi descrizioni delle attività che probabilmente vedrai come pentester/consulente di cybersec. Ci sono molte sfumature sottili per ognuna e non di rado le puoi trovare definite in modo leggermente diverso. Molto dipende anche dal tuo background e dai compiti che ti vengono assegnati.

Una volta completato il lavoro di valutazione inizia la fase di scrittura del rapporto. Questo può essere un processo a volte noioso ma necessario. A seconda del cliente il rapporto può essere una telefonata o 100 pagine. Alcuni clienti vogliono pochissime informazioni e altri ne vogliono molte. In media, la maggior parte dei rapporti ha un minimo di 20 pagine.

L'ultima fase è quella della presentazione al cliente. Non è certo necessario essere particolarmente estroversi per avere successo nelle interazioni. Devi essere in grado di illustrare i risultati di fronte al team del cliente, parlare in modo chiaro e supportare i tuoi risultati attraverso discussioni tecniche.

Il lavoro da remoto

Come accennato in precedenza, spesso ho il piacere di lavorare da casa. Mi piace la flessibilità dell'orario e il lavorare con abiti che non sarebbero mai presentabili in un ufficio. Ancora di più apprezzo il poter pranzare con la famiglia, passare dei momenti insieme durante la pausa pranzo o la merenda del pomeriggio.

E a tutto questo si aggiunge la quantità di tempo che evito di passare seduto nel traffico ogni giorno per andare e tornare dal lavoro. Meno stress, meno inquinamento, meno costi!

Ci sono anche alcuni aspetti negativi nel lavorare da remoto. Ad esempio, in un ufficio è facile essere l'ombra di qualcuno più esperto di te e chiedergli aiuto. Questo tipo di interazione ha un valore inestimabile in tutti i livelli di abilità, ed è ancora più importante per chi è all'inizio della carriera. Tuttavia, è possibile imparare dagli altri anche da remoto.

Considerazioni finali sul lavoro di squadra

Un pentester non è solo un professionista che da solo hackera aziende in una felpa da un seminterrato. Mentre lavoriamo da remoto per la maggior parte del tempo siamo una squadra con persone incredibilmente di talento. Per questo motivo è importante essere il miglior compagno di squadra e imparare da chi ti circonda. Non solo l'efficienza e le capacità del tuo team miglioreranno nel farlo, ma miglioreranno anche la tua efficienza personale e le tue competenze.

Stay safe, stay free.