අද අපි කතා කරන්නේ penetration testing ගැන. Hacking කියන්නේ මේ වෙද්දී ගොඩක් අය අතරේ trending topic එකක්නේ. ඒ වගේම තමයි Hackers ලා mainly categories තුනක් තියෙනවා කියලා ඔයාලා දන්නවනේ. ඒ White hat hackers, Black hat hackers සහ grey hat hackers විදියට.

අද අපි කතා කරන්නේ penetration testers ලා ගැන. ඒ කියන්නේ, White hat hackers ලා ගැන. White hat hackers ලා අපට Ethical hackers ලා කියලා හදුන්වන්න පුලුවන්. White hat hackers කියන අය තමයි system වල තියෙන අවුල් මොනව කියලා අදුරගෙන පිටින් system එකට වෙන්න පුලුවන් attack වලින් system එක protect කර ගන්නේ. මෙයාලගෙන් company  වල system security  එක පවත්වා ගන්න ලොකු  support  එකක් හම්බුවෙනවා. ඒනිසාම white hat hackers ලා system  වල තියෙන errors detect කර ගන්න train කරනවා. මෙයාලගේ skill එක වෙනුවෙන් certificate course පවා හදුන්වලා දීලා  තියෙනවා.

ඔයා අහලා තියෙනවද red team ගැන. Red team එකෙත් ඉන්නේ penetration testers ල කිව්වොත් හරියටම හරි.  ඔයාලා දන්නවනේ මෙයාලා නිසා system එකට වෙන්න පුලුවන් attack වලින් system එක protect කර ගන්න පුලුවන් වෙනවා කියලා. ඒ වගේම තමයි system එකේ මොනවා හරි vulnerabilities තියෙනවද කියලා බලන්න සමහර අවස්තා වලදී එක එක  hacking methods මෙයාලා use කරනවා. හැබැයි මේවා කරන්න කලින් අපිවාර්‍යෙන්ම company එකේ හරි organization එකේ හරි ඉන්න වගකිය යුතු නිලදාරින්ව පොඩ්ඩක් දැනුවත් කරන්න වෙනවා. ඒ කියන්නේ blue team lead, CISO, upper level management වගේ අය.

Penetration testing වල purpose එක ගැන කතා කරාම ඒක organization or company එක අනුව business goal එක වෙනස් වෙනවා.  Example එකක් විදියට university එකක් නැත්නම් hospital එකෙක් ගැන හිතන්නකෝ. මේ දේකේ main goal සම්පූර්නයෙන්ම වෙනස්නේ. ඉතිං ඒ නිසාම penetration testing use කරන විදිය organization or company එක අනුව  වෙනස් වෙනවා.

Normally, organization වල company වල හැම අවුරුද්දෙම audit requirements check කරනවා. ඉතිං  security control part එක pass වෙන්නත්  penetration testing ගොඩක්  වැදගත් වෙනවා. ලංකාවේ නම් ISACA Sri Lanaka, PWC වගේ අය තමයි audit requirements check කරන්නේ. Auditor company එකට ඇවිල්ලා security requirements ගැන අහනකොට අපි ඒවා ensure කරලා තියෙනවා නම් audit එක pass වෙන එක එච්චර දෙයක් නෙවෙයි.

Penetration testing වල වැදගත්ම කොටසක් තමයි report writing part එක. ඒ කියනේ අපි කරන හැම දේම, අපි හොයා ගන්න දේවල් හැම දේම (Vulnerabilities) documentation කරන්න ඕනි. ඊට පස්සේ අපි මේවා සේරම executive leadership එකට submit කරන්න ඕනි.

ඒ වගේම තමයි documentation නිසා system risk, risk rating, preventing methods ගැන ඕනි කෙනෙක්ට හොද idea එකක ගන්න පුලුවන් වෙනවා වගේම prevention methods විදියට කරන්න ඕනි දේවල් ගැනත් මේක නිසා company එකේ  executive leadership එකට පැදැදිලිව තේරුම් ගන්න පුලුවන් වෙනවා.

දැන් අපි black box, white box සහ grey box වලට penetration testing සම්භන්ද වෙන විදිය ගැන කතා කරමු.  

Penetration testing වලදී මුලිනම් කරන්න ඕනි black box testing එකක්ද? White box testing එකක්ද? එහෙම නැත්නම් grey box resting එකක්ද කියලා penetration testers ලා මුලින්ම තීරනය කරනවා. මොකද penetration testing වල network mapping සහ අනෙත් හැම දේම ගැන penetration tester ට idea එකක් තියෙනවනේ. ඒ නිසා Penetration testers ලට දෙන project එක ගැන විස්තර අනුව සහ project එකේ scope එක අනුව එයාලා තීරනය කරනවා කරන්න ඕනි මොන වගේ testing එකක්ද කියලා. දැන් අපි ඒවා මොනවද කියලා අදුර ගම්මු.

Black bock testing (External penetration testing)

මේකේදී Penetration tester ට project එකේ infrastructure එක ගැන දන්නේ පොඩි ප්‍රමානයක්. එයාලා දන්න දේවල් වලින් එක එක විදි try කරලා බලනවා. ඒ ඒයාලගේ practical knowledge එක සහ skill එක අනුව. ඒ නිසා මේ method එකට “trial and error approach” කියලත් කියනවා. ඒ නිසාම Black block testing වලදී real world attacks වලින් protect වෙන්න ලොකු හැකියාවක් තියෙනවා.

අපි කිව්වනේ black block testing වලදී attacker project එකේ infrastructure එක ගැන ගොඩක් විස්තර දන්නේ නෑ කියලා. එයාලා දන්න දේවල් වලින් එක එක attacking methods try කරලා බලනවා. මෙහෙම දේවල් කරන්නේ organization එක නැතන්ම company එක දැනුවත් කරලා නෙවෙයි. දැනුවත් කරන්නේ නෑ කියලා කියන්නේ company එකේ penetration testing එකක් වෙනවා කියලා දන්නවා. ඒත් tester ලා මේ වෙලාවේ මොන වගේ දෙයක් try කරනවද කියලා දන්නේ නෑ.  ඉතිං ඒ නිසාම මේ වගේ testers ලට uninformed attackers ලා කියලත් කියනවා.

White box testing (Clear box testing / Glass box testing / Internal box testing)

මේකේදී Penetration tester ට project එකේ infrastructure එක ගැන හොද idea  එකක් තියෙනවා. ඒ කියන්නේ use කරන technology එක මොකක්ද, source code එක මොන වගේද? මේ වගේ හැම දෙයක් ගැනම හොද idea එකක් තියෙනවා.

White box testing එකේ මූලික අරමුන වෙන්නේ security audit එක සාර්තක කර ගන්න එක සහ system එකේ තියෙන vulnerabilities අදුර ගන්න එක කිව්වොත් හරියටම හරි. White box testing එකේ තියෙන disadvantage එක තමයි එයාලට force කරන්න තියෙන area එක මොකක්ද කියලා හරියටම අදුර ගන්න එක. මොකද white box testing වලදී project එක ගැන සේරම විස්තර අපි tester ට මුලිනම් දෙනවා කියලා කිව්වනේ.

Grey box testing

Grey box testing කියලා කියන්නේ, black box testing සහ white box testing අතරේ තියෙන එකක් කිව්වොත් හරියටම හරි. ඒ කියන්නේ මේකෙදී taster ලට  project එකේ infrastructure එක ගැන තරමක විස්තර ටිකක් තමයි දෙන්නේ. ඒ කියන්නේ example එකක් විදියට කිව්වොත් grey box tester කෙනෙක්ට system එකේ user privilege වලට access කරන්න ලැබුනොත් ඒක ලැබෙන්නේ එකකෝ admin විදියට නැත්නම් domain විදියට. ඒ වගේම තමයි අපි අපේ system එක ගැන මොකක් හරි diagram එකක් දුන්නම් ඒකේ නොදන්න පැති තමන්ගේ skill වලින් හොයා ගන්න grey box taster ලට හැකියාව තියෙනවා සහ ඊට අදාල vulnerabilities ගැනත් හොයා ගන්න හැකියාව මෙයාලට තියනවා.

Black box testing සහ white box testing එක්ක ගත්තම grey box testing එකේ තියන එකම වාසිය තමයි අපට අපේ system එකේ security එක ගැන හොද report එකක් අපට provide කරන්න පුලුවන් වීම.  ඒ කියන්නේ අපට finally අපේ network security එක ගැන හොද efficient assignment එකක් grey box tester ගෙන ගන්න පුලුවන් වෙනවා.

දැන් අපි penetration taster ලගේ types ගැන කතා කරමු.

Penetration taster ලා mainly types 6 k තියෙනවා. ඒ මේ විදියට,

• Network services penetration taster
• Web applications penetration taster
• Client-side penetration taster
• Wireless penetration taster
• Social engineering penetration taster
• Physical penetration taster

මේ හැම penetration taster කෙනෙක්ටම එයාලට අදාල subject එක ගැන specific knowledge  එකක් තියෙනවා සහ ඒ ඒ අවස්තා වලදී use කරන්න ඕනි requirements and mythology ගැන හොද අවබෝදයක් තියෙනවා.

Network services penetration testing කියලා කියන්නේ මොකක්ද?

Penetration testing වල ගොඩක් common method එකක් තමයි මේක. ඔයා අහලා තියෙනවද N – Map කියන tool එක ගැන. මේකෙන් අපි network vulnerabilities scan කරනවනේ. අන්න ඒ වගේ අවස්තා වලට අපට network services penetration testing කියලා කියන්න පුලුවන්. මේකේ main purpose එක වෙන්නේ network එකේ තියෙන most exposed vulnerabilities and security weakness අදුර ගන්න එක කිව්වොත් හරියටම හරි. Example එකක් විදියට කිව්වොත් network service penetration testing වලදී අපේ network එකට සම්භන්ද devices වල vulnerabilities මොනවද කියලා බලනවා. ඒ කියන්නේ switches වල, routers වල මොනවා හරි අව්ල් තියෙනවද කියලා බලනවා. එතකොට ඇත්තම attack එකක් එන්න කලින් අපේ system එක hackers ලගෙන් බේර ගනන් ලොකු අවස්තාවක් අපට ලබෙනවා.

ඒ වගේම තමයි network penetration testing නිසා මේ වගේ attacks වලිනුත් අපට බේරෙන්න පුලුවන්,

• Firewall misconfiguration and firewall bypass.
• IPS/IDS Evasion attacks
• Router Attacks
• DNS Level Attacks (Zone transfer attacks / Switching or routing-based attacks)

Web applications penetration testing කියලා කියන්නේ මොකක්ද?

ඔයාලා SQL injection, Cross site scripting වගේ web applications attacks ගැන අහලා තියෙනවද? Web based applications වල තියෙන vulnerabilities and security weakness අදුර ගන්න තමයි web-based penetration testing use කරන්නේ.  Web applications penetration tester කෙනෙක්ට source code ගැන සහ web technology ගැන හොද knowledge එකක් තියෙන්න ඕනි. ඒ කියන්නේ එයාලට Web applications, browsers, servlets, plugins වගේ දේවල්.

Saucersful web application pen testing එකක් කරනකොට අනිවාර්‍යෙන්ම end point එක එහෙම නැත්නම් user එක්ක සම්භන්ද වෙලා තමයි කරන්න වෙන්නේ, මොකද නැත්න්ම අපට හරි result එකක් ගන්න වෙන්නේ නෑ. ඉතිං මේ විදියට web application based penetration testing එකක් කරාම අපට අදාල application එකේ, ඒකට සම්භන්ද database එකේ, source code එකේ vulnerabilities අදුර ගන්න පුලුවන් වෙනවා. ඒ වගේම තමයි backed එකේ error උනත් අපට detect කර ගන්න පුලුවන් වෙනවා.  

මේ විදියට vulnerabilities detect උනාට පස්සේ web application developers ලා අදාල web applicates වල patches update කරනවා. ඒවා තමයි අපට සැරින් සැරේ system updates විදියට එන්නේ.

Client-side penetration testing කියලා කියන්නේ මොකක්ද?

Client-side penetration testing කියලා කියන්නේ, client-side applications වල තියෙන අව්ල් මොනවද කියලා බලන එක කිව්වොත් හරියටම හරි. Example එකක් විදියට කිව්වොත් Web browsers (google chrome, firefox), Putty, email clients, Macromedias Flash වගේ applications.

එතකොට client side penetration testing වලදී අපට අදුර ගන්න පුලුවන් මොන වගේ attacks ද?

• SSH Attacks
• Proxy server attacks
• Unnecessary open ports attacks
• Database attacks
• Man in the middle attack
• FTP/SMTP Based attacks

Wireless penetration testing කියලා කියන්නේ මොකක්ද?

Business WIFI එකට connect වෙලා තියෙන laptops, tablets, smartphones සහ IoT devices වලින් එන්න පුලුවන් attacks අදුර ගන්න තමයි wireless penetration testing කරන්නේ.  මේකේදී attacker සහ penetration tester එකම  network එකක ඉන්න එක අතාවශ වෙනවා.

Wireless penetration testing එකක් කරන්කොට අපි, network එකේ poor encryption methods use වෙන access points, network එකේ data flow එක, network එක encrypt වෙලා තියෙන විදිය, unauthorized access ගැන බලන්න IDS (Inclusion detection systems) තියෙනවද? දැනට working place එක protect කරන්න use කරන secure methods මොනවද?  කියලා සැලකිලිමත් වෙන්න ඕනි.

Social engineering penetration testing

Social engineering penetration testing වලදී social engineering attacks වලනි මිනිස්සු ආරක්ශා වෙන කරන්න ඕනි විදිය ගැන කතා කරනවා. ඔයාට ඒ ගැන වැඩි විස්තර බලන්න ඕනි නම්, මේ link එකට ගිහින් බලන්න පුලුවන්.

Physical penetration testing

Physical penetrating testing කියලා කියන්නේ physically network security එකට බලපෑම් කරන්න පුලුවන් අවස්තා මොනවද කියලා බලලා, ඒවා අවම කරන එක කිව්වොත් හරියටම හරි. Example එකක් විදියට ඔයා හිතන්නකෝ server room එකක් තියෙනවා කියලා. මේ server room එකට hackers ලට එන්න බැරි වෙන්න ඔයාට physical security එකක් විදියට door lockers දාන්න පුලුවන්. ඒ වගේම තමයි office environment වලදී නම් physical security විදියට fingerprint scanners use කරන්න පුලුවන්.

ඉතිං මේ විදියට තමයි penetration testing part එක වෙන්නේ. ඊලග article එකෙන් අපි අලුත් දේකින් හම්බු වෙමු.