Pentesting er en prosess hvor vi aktivt går inn for å avdekke svakheter i ditt system og kommer med et konkret løsningsforslag.
Pentesting er prosessen for å forhindre at at du blir utsatt for et virkelig angrep.
Hva er pentesting og hvordan utfører vi det?
En pentest utføres av personell med spisskompetanse. Som regel er en pentester en avansert utvikler og en “White Hat Hacker” eller “ethical hacker”. Hver sak er unik, og personell må derfor velges ut etter oppgaven.
En pentest starter med en prosess som omtales som “Footprinting”. Vi bruker forskjellige verktøy og teknikker for å finne ut alt vi kan om målet. Basert på resultatet av dette, velger vi ut veien videre for den faktiske testen. Den faktiske testen kan ofte innebære at vi utfører et simulert angrep etter avtale med kunden.
Hva skjer i et simulert angrep?
Vi utfører, dersom vi har avtalt det, et faktisk angrep med vårt avtalte mål, som mål. Vår jobb er å nå målet, og dokumentere veien vi fant inn og til slutt gi råd om hvordan sikre systemene.
Social Enginering
Socail Enginering er en prosess hvor vi i tillegg til en ordinær pentest bruker det menneskelige aspektet. Ingen system er sikrere enn det svakeste leddet, og det er dette Social Enginering i stor grad handler om. Social Enginerring, eller SE, er den korteste veien til målet, og det er derfor viktig å teste også dette.
La oss se på et lite eksempel fra en test case.
Etter å ha utført footprinting, har vi sett oss ut noen av de ansatte som egnede kandiadater, uten at de vet noen ting. Vi finner etterhvert ut at en av de ansatte er over gjennomsnittet interresert i frimerker, og denne ansatta har samtidig Super bruker tilgang til systemene vi er satt til å teste. Ved hjelp av MetaSploit genererer vi en PDF som vi infiserer med “PayLoad”, i dette tilfellet en RAT (Remote Administration Tool), eller en trojansk hest om du vil. Vi lagrer pdf filen med navnet “frimerkekatalogen {dette året}.pdf og sender den ansatte en epost med avsender fra en frimerkesamling forening, som vi allerede har funnet ut at han jevnlig får eposter fra via verktøyet Maltego. Den ansatte åpner eposten og vedlegget nærmest med det samme, og vi oppnådde full systemtilgang.
Andre eksempler på SE kan være å sende den ansatte epost, SMS eller direkte kontakt for å lure ut brukernavn og passord.
Systemer vi utfører pentester mot:
Hva koster det og hvordan kommer vi igang?
Hver sak er unik, med unike mennesker og unike mål. Vi starter derfor med en kostnadsfri start samtale for å finne ut av om vi kan og vil ta på oss oppdraget. Deretter går vi over i en mer konkret samtale med dere, enten via Teams eller on-site. Etter dette møtet tilbyr vi dere en fast kontraktspris for utført oppdrag. Prisen avhenger av en lang rekke faktorer og representerer vårt estimerte tidsforbruk. Vi fullfører alltid oppdaraget, og fakturerer aldri mer enn hva som først ble avtalt!
For å komme i gang kan du fylle ut skjemaet under, så tar vi kontakt for et inneldende møte over telefon.
Priseksempler basert på tidligere caser:
WooCommerce. Penteste linux server og WordPress / WooCommerce. Lite oppdrag med utstrakt bruk av verktøy.
Magento og Ubuntu med LiteSpeed server. Full pentest av hele systemet samt SE mot administratorer. Test av SQL injection, Cross Site Scripting med mer.
Hjemmekontor løsning i offentlig sektor. Lokalt nettverk og servere. WiFi on-site. Adgangskontroll. SE
Rutiner, nettverk, server og brukermaskiner.
App utviklet Xamarin for Android og iOS. Ekstern sikkerhetspartner, tester og rådgiver.