pentest
22-06-2019

Resultaten pentest opsteker voor iSHARE

Afgelopen kwartaal voerde Secura een eerste penetratietest uit op de technische infrastructuur van de Stichting iSHARE. De resultaten werden in mei aan de projectorganisatie van iSHARE gepresenteerd en zijn een opsteker voor het afsprakenstelsel.

Een penetratietest of pentest is een toets van een of meerdere computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. De penetratietest die werd uitgevoerd door Secura (voorheen Madison Gurkha) in opdracht van het iSHARE-team, had als doel om onafhankelijk te laten toetsen of de infrastructuur van de Stichting iSHARE wel veilig is.

Grey box 

Er zijn verschillende manieren waarop een pentest gedaan kan worden. Als een tester minimale voorkennis heeft, is er sprake van black box; krijgt een tester van tevoren inzicht in alle aspecten van de systeemarchitectuur, dan heet die white box. Beschikt een tester over gedeeltelijke informatie, dan heet dit grey box.

Secura voerde een grey box test uit, en kreeg de beschikking over de inloggegevens van onze systemen. Zij onderzochten hiermee op gestructureerde wijze welke kwetsbaarheden er aanwezig zijn, en of ongeautoriseerde gebruikers misbruik kunnen maken van onze systemen.

Conclusie: veilige en betrouwbare infrastructuur

Uit de pentest bleek dat de infrastructuur van de Stichting veilig is voor het doel waar het voor is ontwikkeld. Er werd slechts een beperkt aantal kleine veiligheidsrisico’s gevonden, die inmiddels zijn verholpen. 

Voor de liefhebbers van meer achtergrond, meer informatie over het uitgevoerde onderzoek van Secura is beschikbaar op het iSHARE Community Forum.