Wat is een Black box pentest?

Cyber security is in de afgelopen een belangrijk onderdeel geworden van bedrijfsvoering. Organisaties en bedrijven met (gevoelige) data moeten de IT security structureel verbeteren. Met een pentest worden kwetsbaarheden inzichtelijk. Met deze inzichten kunnen preventief maatregelen worden genomen. Er zijn drie verschillende methodes die worden gebruikt: een white-box, grey-box en een black-box pentest. Met een black box pentest methode wordt in feite een criminele hacker gesimuleerd. Zonder informatie of start punt wordt het netwerk of de applicatie getracht te penetreren.

Wat is het verschil tussen een black-, grey- en whitebox pentest?

Met een black box pentest methode wordt de hack benaderd alsof een buitenstaander binnendringt. In tegenstelling tot een white box waar de pentester op voorhand al login en netwerk details ontvangt, krijgt de pentester bij een black box helemaal geen informatie. Bij een grey box is er een beperkte kennis van de technische details. Een grey box is ook wel te vergelijken met wanneer een medewerker met beperkte toegang het systeem zou willen hacken.

Voor- en nadelen van een black box penetratietest

De voordelen:

• Simulatie van realiteit - Er wordt getest zoals een echte hacker dat zou doen.
• Detectie van urgente kwetsbaarheden - De hacker heeft geen kennis van het systeem of de applicatie. De kwetsbaarheden waarmee buitenstaander kunnen binnendringen worden met een black box geïdentificeerd.
• Medewerkers getest - Door social engineering technieken te gebruiken wordt geprobeerd door medwerkers te benaderen voor gevoelige informatie.
• Snelle uitvoering - Een black box kan relatief snel worden uitgevoerd. Het motief is binnen dringen. Daarmee is de opdracht en de scope concreet en afgebakend.

De nadelen:

• Minder grondig - Er wordt bijvoorbeeld niet zo grondig naar de broncode gekeken als bij een white box pentest.
• Veel trial en error - Een pentester probeert veel techieken en tools uit om binnen te dringen. Echter blijft het veel proberen en zoeken waar de kwetsbaarheden zitten.
• Lastig inschatten van de tijdsomloop - Het is voor een pentester moeilijk om aan te geven hoelang de black box pentest zal duren.

Veelgebruikte technieken bij black box pentesten

Ethische hackers gebruiken vaak verschillende technieken en tools bij het uitvoeren van een black box pentest.

1. Selenium - Een platform dat veel gebruikt wordt om automatisch tests te doen op applicatie. Met dit framework kun je tests schrijven in een taal zoals bijvoorbeeld Ruby, welke toepasbaar zijn op specifieke domeinnamen.
2. Appium - Een open source cross-platform tool voor diverse testen. In Appium kan testcode worden geschreven die toepasbaar is op verschillende platforms zoals iOS, Windows, Android, etc. Net zoals bij Selenium kun je de testode in diverse programmeertalen schrijven.
3. HP QTP - QTP staat voor 'Quicktest Professional'. Dit is een tool ontwikkeld door HP en helpt pentesters om tests automatisch uit te voeren waar monitoring niet nodig is.
4. Ranorex - Een tool die geschikt is om diverse tests te automatiseren. Geschikt voor alle windows netwerken en applicaties. Ranorex Studio is compatibel met C# VB.net.