Haavoittuvuustestaus

Haavoittuvuustestaus on projekti, jossa yritetään hakkerimenetelmillä murtautua kohdeorganisaation järjestelmiin. Täältä voit käydä itse arvioimassa miksi JRComplex on erityisen tunnettu ja arvostettu haavoittuvuustestauksen osaaja ja tietomurtotapausten tutkija. Kokemusta haavoittuvuustestauksesta löytyy aina 90-luvulta saakka. Tyypillisin testauskohde on ollut erilaiset www palvelut, mutta joukkoon on mahtunut kaikkea mahdollista sulautetuista järjestelmistä aina ambulanssin ensihoitolaitteisiin.

Haavoittuvuustestaus voi koostua ns. Blackbox-tyyppisestä testauksesta, jossa kohteesta annetaan vain vähän etukäteisinformaatiota tai ns. Whitebox -testistä, jossa kaikki tarvittava informaatio kohteesta on testaajien käytettävissä. Parhaan mahdollisen testaustuloksen saamiseksi suositellaan aina Whitebox menettelytapaa.

Testit suoritetaan aina täydellä teholla, eli asiakkaan on varauduttava mahdollisiin teknisiin häiriöihin kohdejärjestelmissä. Mahdolliset tekniset häiriötilanteet ovat olleet kuitenkin erittäin harvinaisia.

JRComplex on erityisen taitava sovellusten testaaja. Haavoittuvuustestaus tehdään normaalin loppukäyttäjän näkökulmasta Internetin ylitse. 

Haavoittuvuustestausta voidaan käyttää myös ohjelmistotestauksen osana ja täydentäjänä. Ohjelmistotestaus haavoittuvuustestauksen näkökulmasta laajentaa perinteistä ohjelmistotestausta kokonaan uudelle alueelle, jossa pystytään löytämään mm.:

  • Ohjelmiston ennustamaton toiminta
  • Ohjelmiston ennustamattomat virhetilanteet
  • Ohjelmiston käytettävyys ja kuormituskestävyys yllättävissä tilanteissa
  • Ohjelmiston tunnistamattomat tietoturvaongelmat
  • Ohjelmiston arkkitehtuurin ja suunnittelun heikkoudet
  • Ohjelmiston käsittelemän datan luottamuksellisuuden ja eheyden varmistaminen
  • Ohjelmiston käyttävaltuushallinnan luotettavuus

2.1 Haavoittuvuustestauksen tavoite ja menetelmät

Projektin tavoitteena on selvittää sisältyykö kohdeympäristöön sellaisia teknisiä riskejä, joiden avulla saattaisi olla mahdollista:

  • Saada kohde kokonaan tai osittain hyökkääjän hallintaan
  • Saada kohteesta haltuun luottamuksellista informaatiota
  • Saada vaikutettua kokonaan tai osittain kohteen toimintaan

Haavoittuvuustestausprosessi ja -menetelmät pohjaavat JRComplex Oy:n kehittämään testausprosessiin.  

2.2 Kuvaus haavoittuvuustestauksesta

JRComplex haavoittuvuustestaus tapahtuu aina asiantuntijan manuaalityönä missä kaikki testitapaukset suunnitellaan juuri testattavan kohteen ja tilanteen mukaan. Automatisoituja työkaluja ja skannereita käytetään vain tukemaan ja täydentämään asiantuntijan työtä. Testauksessa  pyritään iskemään mihin tahansa hyödynnettävissä olevaan aukkoon kohdejärjestelmässä.

2.3 Haavoittuvuustestauksen dokumentointi

Toimeksiannon lopputuotteena on raportti, jossa annetaan arvio kohteen tietoturvallisuuden kokonaisuudesta, sekä arvioidaan jokaisen tarkastushavainnon muodostama riski erikseen. Tarkastushavinnot ovat yksikäsitteisiä ja selkeitä eivätkä sisällä ylimääräistä spekulointia.