it-swarm-eu.dev

Cosa fare se catturati in un pentest fisico?

Ho visto molte persone parlare di come protestare e come NON farsi prendere durante gli impegni, ma è difficile trovare "Come comportarsi quando vengono catturati durante un impegno della Red Team".

Le squadre rosse devono simulare i sistemi di attacco degli avversari. Molte azioni non possono essere eseguite (o almeno molto difficili) solo con alcuni computer e i Red Teams devono spesso recarsi sul posto e intervenire (legalmente). Quello che ho visto finora è che le persone riescono a non farsi prendere. Tuttavia, non ho visto nessuno parlare di cosa fare quando colto. Potrebbe essere solo un sospetto o addirittura essere inseguito dalla sicurezza (possibilmente armato).

Nei casi in cui un Red Teamer viene catturato durante un ingaggio, cosa dovrebbe fare?

  • Di '"Sono un tester di sicurezza. Mi hai beccato, quindi me ne vado."
  • Scappa come un criminale con i suoi dati rubati (che sembra divertente ma pericoloso) per essere più come un vero criminale
  • Contatta il datore di lavoro per segnalarlo e ottenere un pass "just continue"
  • Vieni tranquillamente per qualche possibile interrogatorio (penso che questo sarebbe il più sicuro)

Aggiornamento: ho fatto un'altra domanda qui che copre le terze parti non discusse in questa domanda.

129
John Zhau

Porta sempre con te la tua polizza!

Questa è la regola d'oro di Red Teaming! Se non hai il permesso di attaccare con te, è come guidare senza patente. Detto questo, se vieni sorpreso durante un fidanzamento, ti consiglio quanto segue:

  1. Presenta una falsa Autorizzazione all'attacco. In questo modo, puoi vedere se i criminali potrebbero ingannare una guardia di sicurezza per lasciarli fare la loro cosa con una falsa autorizzazione all'attacco.
  2. Presenta l'autorizzazione reale all'attacco. Se una guardia non ha acquistato la tua falsa polizza, allora è il momento di consegnare il reale scivolare. Se la guardia ti crede, è tempo di raccogliere e lasciare il perimetro. Un vero aggressore sarebbe stato fermato a questo punto. Se la guardia non ti ha creduto , chiedi gentilmente di parlare con il proprio supervisore. Se insistono nel non crederti e nel chiamare la polizia, così sia. Non sei un criminale, quindi non preoccuparti.
  3. Segui gli ordini della polizia. Ti porteranno con sé alla stazione, dove puoi spiegare alla polizia che fai parte di un Red Team Engagement e che hai il permesso di entrare nel azienda. Lo controlleranno due volte, chiamando chiunque sia elencato come la persona che ha firmato la tua autorizzazione all'attacco. Nel caso felice, prenderanno il telefono, spiegheranno che sei davvero assunto per farlo, e sarai libero di andare.

    Nel caso non così felice, non risponderanno perché sono le 4 del mattino e il loro telefono non ha batteria. Se ciò dovesse accadere, probabilmente passerai la notte alla stazione di polizia. Le cose peggiori sono successe. Chiama il tuo datore di lavoro al mattino, e raggiungeranno il contatto presso l'azienda del cliente per te.

E le altre opzioni?

Dicendo "Sono un ricercatore di sicurezza. Mi hai beccato, quindi me ne vado"

non sarà molto utile. Agli occhi di una guardia di sicurezza, sei un criminale, colto nel mezzo di un crimine. Non avrai la scelta di "solo partire".

Scappa come un criminale.

Una pessima idea. Probabilmente il peggio che potresti fare. Se la guardia chiama la polizia (probabilmente lo faranno), i costi potrebbero aumentare molto e non farebbe rendere il cliente felice di sapere che ora ha pagare la polizia anche per una caccia all'uomo non necessaria. Tuttavia, dovresti assolutamente includere nel tuo rapporto se allontanarsi dal perimetro dopo essere stato catturato sarebbe stato uno sforzo banale o meno.

Contattare il datore di lavoro per ottenere un "Just continue pass".

Quello perderebbe il punto di un Red Team Engagement. Una volta che hai un passaggio "Continua", non stai simulando il comportamento di un vero attaccante. Passeresti attraverso le cose dell'azienda con il loro permesso.

188
MechMK1

C'è un rovescio della medaglia: cosa fare se scopri un pentester fisico. Quando lavoravo in una banca, mi è capitato di notare l'iconico banner di benvenuto di metasploit cli che si illuminava per un secondo su un desktop nel mezzo di una fattoria di cubi.

I pentesteri fisici fanno parte della vita in una banca e le regole di ingaggio sono molto chiare in anticipo. Ci sono regole e procedure per entrambe le parti se qualcuno nota un pentester. Questo mantiene tutti al sicuro.

Perché immagina la situazione: se il metasploit è in esecuzione, basterebbe l'attaccante che esegue uno script prefabbricato e potrebbe essere "game over" per la banca. Se vedi il banner, è probabilmente già troppo tardi. Ciò significa che le dita di quella persona devono essere spente da quella tastiera e il cavo di rete tirato/wifi spento il più presto possibile. Come, immediatamente. Ciò significa una grossolana interazione fisica. Non aspettando l'arrivo della sicurezza. E questo è un problema di sicurezza.

Si scopre che in questo caso, il pentester si è incasinato esponendosi in quel modo e l'impegno sarebbe stato terminato prematuramente, ma seguendo i protocolli, l'impegno è proseguito nell'ambito definito e tutti erano al sicuro. Il test non riguardava la possibilità di entrare, ma di simulare un insider dannoso.

50
schroeder