jouni.rosenlof@jrcomplex.fi

Haavoittuvuustestaus

"Complex World Needs Simple Solutions"

Haavoittuvuustestaus

Haavoittuvuustestaus on projekti, jossa yritetään hakkerimenetelmillä murtautua kohdeorganisaation järjestelmiin.

Tyypillisiä testauskohteita ovat erilaiset www-palvelut. JRComplex Oy:n Jouni Rosenlöfillä on kokemusta sulautetuista järjestelmistä aina ambulanssin ensihoitolaitteisiin. 

Täältä voit käydä itse arvioimassa miksi JRComplex on erityisen tunnettu ja arvostettu haavoittuvuustestauksen osaaja ja tietomurtotapausten tutkija. Kokemusta haavoittuvuustestauksesta löytyy aina 90-luvulta saakka.

Haavoittuvuustestauksen

Tavoite ja menetelmät

Haavoittuvuustestausprosessi ja -menetelmät pohjaavat JRComplex Oy:n kehittämään testausprosessiin.

Projektin tavoitteena on selvittää sisältyykö kohdeympäristöön sellaisia teknisiä riskejä, joiden avulla saattaisi olla mahdollista:

Saada kohde kokonaan tai osittain hyökkääjän hallintaan

Saada vaikutettua kokonaan tai osittain kohteen toimintaan

Saada kohteesta haltuun luottamuksellista informaatiota

Kuvaus haavoittuvuustestauksesta

JRComplex haavoittuvuustestaus tapahtuu aina asiantuntijan manuaalityönä missä kaikki testitapaukset suunnitellaan juuri testattavan kohteen ja tilanteen mukaan.

Automatisoituja työkaluja ja skannereita käytetään vain tukemaan ja täydentämään asiantuntijan työtä. Testauksessa pyritään iskemään mihin tahansa hyödynnettävissä olevaan aukkoon kohdejärjestelmässä.

Testit suoritetaan aina täydellä teholla, eli asiakkaan on varauduttava mahdollisiin teknisiin häiriöihin kohdejärjestelmissä. Mahdolliset tekniset häiriötilanteet ovat olleet kuitenkin erittäin harvinaisia.

Haavoittuvuustestaus voi koostua ns. Blackbox-tyyppisestä testauksesta, jossa kohteesta annetaan vain vähän etukäteisinformaatiota tai ns. Whitebox -testistä, jossa kaikki tarvittava informaatio kohteesta on testaajien käytettävissä. Parhaan mahdollisen testaustuloksen saamiseksi suositellaan aina Whitebox menettelytapaa.

Haavoittuvuustestaus tehdään normaalin loppukäyttäjän näkökulmasta Internetin ylitse.

Haavoittuvuustestauksen dokumentointi

Toimeksiannon lopputuotteena on raportti, jossa annetaan arvio kohteen tietoturvallisuuden kokonaisuudesta, sekä arvioidaan jokaisen tarkastushavainnon muodostama riski erikseen.

Tarkastushavinnot ovat yksikäsitteisiä ja selkeitä eivätkä sisällä ylimääräistä spekulointia.

Haavoittuvuustestausta ammattitaidolla