Il penetration testing (o pen test, collaudo di penetrazione) è un’attività di sicurezza offensiva autorizzata in cui un professionista specializzato — il penetration tester o ethical hacker — simula attacchi reali contro sistemi, reti, applicazioni o infrastrutture di un’organizzazione con l’obiettivo di identificare vulnerabilità sfruttabili prima che lo facciano attori malevoli. Si distingue dalla vulnerability assessment — che identifica e cataloga le vulnerabilità — per l’attività di sfruttamento attivo: il pen tester non si limita a trovare la falla, ma dimostra se e come può essere usata per compromettere un sistema o escalare i privilegi.
Tipologie per livello di informazione
Black box: il tester non ha informazioni preventive sull’obiettivo, simulando un attaccante esterno senza conoscenza interna. Più realistico per simulare un attaccante opportunista, ma meno efficiente per la copertura.
White box: il tester ha accesso completo a documentazione, codice sorgente, architettura e credenziali. Massima copertura e profondità di analisi. Usato per audit di sicurezza approfonditi di applicazioni.
Grey box: scenario intermedio, con credenziali utente standard e conoscenza parziale dell’architettura. Simula un attaccante con accesso legittimo limitato (dipendente, cliente).
Fasi del processo
1. Scoping e Rules of Engagement: definizione contrattuale dell’ambito (sistemi in scope, orari permessi, azioni vietate), limiti legali e punti di contatto in caso di incidenti reali.
2. Reconnaissance: raccolta di informazioni sull’obiettivo tramite OSINT, scansione di porte, enumerazione di servizi, analisi DNS.
3. Vulnerability scanning: identificazione automatizzata di vulnerabilità note (Nessus, OpenVAS, Nuclei).
4. Exploitation: sfruttamento delle vulnerabilità identificate per ottenere accesso. Uso di framework come Metasploit, exploit pubblici o sviluppo di exploit custom.
5. Post-exploitation: una volta ottenuto l’accesso, escalation dei privilegi, movimento laterale, persistence, esfiltrazione dati simulata — per valutare il raggio d’azione reale di un attaccante.
6. Reporting: documentazione delle vulnerabilità trovate con proof-of-concept, valutazione del rischio (CVSS), remediation roadmap ordinata per priorità.
Metodologie standard
PTES (Penetration Testing Execution Standard): framework open source che definisce le fasi e i requisiti minimi di un pen test professionale.
OWASP Testing Guide: metodologia specifica per il pen test di applicazioni web, con test case per ogni categoria di vulnerabilità (OWASP Top 10 e oltre).
OSSTMM (Open Source Security Testing Methodology Manual): metodologia ampia che copre sicurezza fisica, wireless, telecomunicazioni, reti.
Red team vs. pen test
Un red team engagement è un pen test esteso e più realistico: obiettivo dichiarato è colpire un target specifico (es. esfiltrare un documento sensibile) senza limiti di tempo predefiniti, usando qualsiasi vettore disponibile incluso il social engineering fisico. Il blue team (difesa) non sa che l’esercizio è in corso. Più costoso e indicato per organizzazioni con maturità di sicurezza elevata che vogliono testare la capacità di detection e response, non solo la robustezza tecnica dei sistemi.
Aspetti legali
Il pen test senza autorizzazione scritta esplicita è un reato in quasi tutti i paesi (in Italia: art. 615-ter c.p., accesso abusivo a sistema informatico). La lettera di autorizzazione (letter of authorization, LoA) è il documento che legittima l’attività e deve essere firmata dal legale rappresentante del proprietario dei sistemi — non basta il responsabile IT.