Щодня організації по всьому світу наймають хакерів, щоб ті зламали їхні власні системи — проникли в мережу, обійшли захист і дісталися найцінніших даних. У цьому немає парадоксу: так працює тест на проникнення (penetration testing, або скорочено пентест) — контрольована імітація справжньої кібератаки, яку замовляють, щоб знайти вразливості раніше, ніж це зроблять реальні зловмисники. А результати бувають несподіваними: від зламу начебто неприступних систем за лічені години до випадків, коли самі фахівці опинялися за ґратами.
Що таке тест на проникнення
Тест на проникнення — це санкціонована атака на власну систему, яку фахівці проводять на замовлення її власника, щоб знайти вразливості раніше, ніж це зроблять справжні зловмисники. Замовник наймає команду «етичних хакерів», окреслює, що саме їм дозволено атакувати, а ті намагаються подолати захист тими ж методами, що й справжні нападники: шукають слабкі місця, експлуатують їх і документують, як далеко вдалося просунутися.
Обʼєктом тесту може бути що завгодно: вебсайт, корпоративна мережа, мобільний застосунок, бездротові точки доступу, працівники компанії (тоді йдеться про соціальну інженерію) або навіть фізичні приміщення — двері, замки, сигналізації та системи контролю доступу. Мета завжди одна: побачити захист очима нападника й отримати перелік конкретних дір, які потрібно закрити.
Чим це відрізняється від сканування вразливостей
Тест на проникнення часто плутають зі скануванням вразливостей, хоча це різні речі. Сканування — це здебільшого автоматизований процес: спеціальна програма перевіряє систему за базою відомих проблем і видає список потенційних слабких місць. Воно відповідає на питання «що теоретично може бути небезпечним».
Пентест іде далі: фахівець вручну намагається ці вразливості реально використати, щоб показати справжній бізнес-ризик. Він відповідає на питання «що з цього справді можна зламати і до чого це призведе». Саме людська винахідливість, а не лише автоматика, відрізняє якісний тест: провідні команди проводять до 95% перевірок вручну, моделюючи дії реального противника.
Як народилася ця професія: від «тигрових команд» до red team
Ідея навмисно атакувати власні системи зʼявилася ще на світанку компʼютерної ери. Наприкінці 1960-х і на початку 1970-х корпорація RAND спільно з агентством ARPA вивчала безпеку перших систем колективного доступу. Її підсумком став звіт RAND R-609 «Security Controls for Computer Systems» (1970), відомий як «доповідь Вара» за іменем голови робочої групи Вілліса Вара (Willis Ware): він уперше системно описав загрозу проникнення в такі системи — від «активного» зламу до «пасивного» перехоплення — і заклав основи галузі.
Тоді ж уряд і дослідницькі центри почали формувати так звані «тигрові команди» (tiger teams) — групи фахівців, яким доручали зламати захист, щоб виявити й залатати діри. У 1972 році піонер компʼютерної безпеки Джеймс П. Андерсон (James P. Anderson) виклав покрокову методику таких перевірок: знайти вразливість, побудувати навколо неї атаку, перевірити її й використати для доступу. Ця логіка лежить в основі пентесту й донині. Одним із показових ранніх прикладів став тест системи MULTICS, проведений Військово-повітряними силами США 1974 року, який виявив серйозні діри в захисті.
Згодом практика вийшла за межі військових і державних структур, а навколо неї виросли стандарти й методології. Сьогодні фахівці спираються на загальновизнані фреймворки — серед них PTES, OWASP Testing Guide, NIST SP 800-115, OSSTMM та матриця MITRE ATT&CK. Паралельно зʼявилося ширше поняття red team (червона команда) — це вже не просто пошук технічних дір, а повноцінна імітація противника, яка поєднує злам мереж, соціальну інженерію та фізичне проникнення.
«Чорна», «біла» та «сіра скриня»
Залежно від того, скільки інформації фахівець отримує на старті, тести поділяють на три типи:
- «Чорна скриня» (black box) — тестувальник не знає про систему майже нічого, як справжній зовнішній зловмисник. Це найреалістичніший сценарій, але й найдовший: багато часу йде на розвідку.
- «Біла скриня» (white box) — фахівцю надають повний доступ: схеми мережі, документацію, навіть вихідний код. Так можна перевірити захист максимально глибоко, не витрачаючи час на розвідку.
- «Сіра скриня» (grey box) — компромісний варіант: тестувальник має часткові знання чи обмежений доступ. Він поєднує реалістичність «чорної скрині» з глибиною «білої», тому на практиці його обирають найчастіше.
Як проходить типовий тест
Попри відмінності, більшість пентестів проходять схожі етапи:
Підготовка та узгодження меж. Замовник і виконавці чітко фіксують, що саме можна атакувати (scope), за якими правилами й де проходить червона лінія. Цей етап — найважливіший, і саме на ньому найчастіше криються проблеми, до яких ми ще повернемося.
Розвідка. Збір інформації про ціль: відкриті домени, сервіси, точки входу, дані про працівників.
Сканування й аналіз. Пошук конкретних вразливостей у виявлених системах.
Експлуатація. Спроба реально використати знайдені діри й отримати доступ.
Закріплення. Перевірка, наскільки глибоко можна просунутися всередині системи й чи вдасться втриматися непоміченим.
Звіт. Ключовий результат усієї роботи: перелік вразливостей, оцінка їхньої критичності та рекомендації, як їх усунути.
Коли тест на проникнення йде не за планом
Хороший пентест майже завжди знаходить діри — за оцінками фахівців, червоні команди отримують глибокий доступ до мереж у переважній більшості випадків. Та інколи найцікавіше починається тоді, коли щось іде не так. Ось кілька історій, які стали хрестоматійними.
Арешт у суді штату Айова
Судова гілка влади штату найняла компанію Coalfire, щоб перевірити фізичну безпеку судів. Двоє її фахівців, Гері Демеркуріо (Gary DeMercurio) та Джастін Вінн (Justin Wynn), уже успішно «зламали» дві будівлі, коли вночі 11 вересня 2019 року дісталися суду в окрузі Даллас. Вони знайшли двері, які були зачинені, але не до кінця замкнені, спеціально замкнули їх, щоб коректно перевірити замок, а потім відчинили саморобним інструментом — і ввімкнули сигналізацію. Далі вони зробили те, що й завжди в таких випадках: спокійно дочекалися поліції, маючи на руках лист-дозвіл від замовника.
Цей «лист, що звільняє від відповідальності», не спрацював. Місцевий шериф затримав обох, їм висунули звинувачення у крадіжці зі зломом, і майже добу вони провели за ґратами. Корінь проблеми був організаційним: адміністрація судів штату не попередила місцеву поліцію про тест, а сама будівля належала округу, тож виникла суперечка, чи мала влада штату взагалі право дозволяти проникнення в чужу власність. Згодом звинувачення помʼякшили до незаконного проникнення, а після слухань у законодавчих зборах штату — і зовсім зняли. Голова Верховного суду Айови навіть вибачився перед депутатами, визнавши, що інцидент підірвав довіру до судової системи.
Історія тривала ще роки. Демеркуріо й Вінн подали проти округу позов за незаконний арешт і наклеп, і лише в січні 2026 року — майже через сім років — справа завершилася мировою угодою на 600 000 доларів — за кілька днів до початку суду й без визнання округом провини. Обидва тестувальники від того часу заснували власну компанію Kaiju Security. А їхній виступ на конференції Black Hat став для галузі гірким уроком: усі межі тесту потрібно фіксувати письмово й узгоджувати з усіма, хто може викликати поліцію.
Навіть «фортеці» падають
У 2016 році розголосу набула історія про те, як одну з найбільш «секретних» технологічних компаній світу, Palantir, фактично розгромила найнята нею ж команда «білих» хакерів. Для сторонніх це звучало як сенсація, але для галузі — як буденність. Червоні команди майже завжди перемагають захисників і практично завжди знаходять хоча б кілька серйозних слабких місць. Парадокс у тому, що сам факт замовлення такого тесту — це ознака зрілого підходу до безпеки, а не слабкості.
Вантажівка з дисками й спуск із даху
Фізичні тести породжують чимало майже анекдотичних ситуацій. Досвідчений фахівець Чарльз Гендерсон (Charles Henderson) якось розповідав, як, виходячи з обʼєкта після завдання, побачив вантажівку, повну дисків компанії, підготовлених на знищення, — із ключами в замку запалювання. Він зателефонував керівнику й уточнив, чи входить це «в межі» тесту. Виявилося, що так. В іншому випадку австралійську команду затримала поліція після того, як ті в чорному одязі спустилися з даху центру обробки даних на тросах із камерами на головах. Ці історії добре ілюструють головне правило: усе, що фахівець збирається робити, має бути заздалегідь дозволено замовником.
Несподіванка в менеджері паролів
Інколи тест приносить сюрприз навіть самим фахівцям. Під час одного з пентестів команда RedTeam Pentesting виявила, що реалізація входу через Windows Hello в популярному менеджері паролів Bitwarden дозволяла віддалено викрасти всі збережені у сховищі дані — без знання головного пароля й без біометричної автентифікації. Знахідка виявилася настільки несподіваною, що за згодою із замовником фахівці навіть опублікували окрему розповідь про неї. Bitwarden усунув проблему ще у квітні 2023 року (версія 2023.4.0), та сам випадок добре нагадує: навіть продукти, створені заради безпеки, потребують незалежної перевірки.
Що з цього варто винести організаціям
Тест на проникнення — один із найдієвіших способів перевірити захист на практиці, а не на папері. Але історія з Айови показує, що технічна підготовка тут — лише половина справи. Перш ніж замовляти пентест, варто памʼятати кілька принципів:
- Чітко прописуйте межі тесту (scope) і фіксуйте їх письмово — усні домовленості не захищають ні замовника, ні виконавця.
- Переконайтеся, що той, хто дає дозвіл, справді має на це повноваження, особливо коли йдеться про чужі будівлі чи системи.
- Попереджайте всіх причетних — від служби безпеки до місцевої поліції, якщо тест передбачає фізичне проникнення.
- Памʼятайте, що мета тесту — не «зловити» команду на провалі, а отримати чесну картину власних слабких місць і встигнути їх виправити.
Зрештою, головний парадокс пентесту в тому, що його успіх вимірюється кількістю знайдених проблем. Що більше дір виявить найнята команда, то менше їх залишиться для справжніх зловмисників.
