it-swarm-eu.dev

Devo presentare documenti falsi in un test di penetrazione / impegno del team Red?

Una mia precedente domanda ha portato a questo discussione che ha menzionato l'argomento falsificazione del documento.

Ho visto molte persone (nei video) falsificare ID e badge dei dipendenti per tali impegni, quindi sembra un test. Tuttavia, se viene richiesto di presentare un documento più critico/serio come una "Autorizzazione all'attacco" (quando catturato), o richiesto da un agente di polizia a presentare un documento di identità, dovremmo testarli prima mostrando loro un forgiato "permesso di attacco" o ID e mostrare solo i documenti reali se catturati?

37
John Zhau

Dipende dall'ambito dell'incarico.

Se il cliente desidera che ti concentri su un'attività specifica (ad es. Bypassare le serrature, ingegneria sociale, ecc.), È tutto ciò che sei autorizzato a fare e tutto ciò che ti è legalmente consentito.

Se il cliente desidera che tu utilizzi "tutto ciò che è legale", al fine di simulare al meglio un vero aggressore, puoi effettivamente presentare un'autorizzazione falsa all'attacco, possibilmente anche con l'aggiunta di istruzioni che dovresti essere lasciato solo durante l'incarico.

Perché dovresti farlo? Al fine di verificare se il personale di sicurezza verifica effettivamente che un'Autorizzazione all'attacco sia valida o meno. Altrimenti un utente malintenzionato potrebbe presentare un'autorizzazione di attacco falsificata e utilizzarla per ottenere l'accesso all'azienda?

E le forze dell'ordine?

Mai mostra alle forze dell'ordine un documento contraffatto o menti a loro su chi sei o cosa stai facendo. Stai testando la società, non le forze dell'ordine.

O per dirla in parole povere: quando parli con la polizia, non sei più un pentester.

110
MechMK1

A meno che il tuo impegno non sia con la polizia, sono fuori campo e tu sei non è consentito testarli. Se qualcuno ha chiamato la polizia, in realtà hai già perso. Dovresti fermarli subito prima che lo facciano (i miei amici che fanno questo tipo di cose lavorano in Inghilterra, dove il numero di emergenza è 999 e il loro principio è che si arrendono quando qualcuno compone il secondo "9").

In particolare, non hai il permesso di attaccare la polizia. La tua polizza non copre la menzogna alla polizia o la presentazione di documenti falsi alla polizia.

Quando agisci nell'ambito di applicazione della tua autorizzazione all'attacco, i documenti contraffatti in genere vanno bene, tuttavia includerei sicuramente una menzione di tali tattiche in uno dei documenti firmati, o l'autorizzazione stessa, o l'offerta o qualcos'altro appropriato. Nel caso in cui qualcuno non sia un fan, vuoi avere qualcosa scritto che dice "ma abbiamo concordato che tali metodi possono essere usati".

Ci sono stati diversi casi recenti in cui i pentesteri si sono messi nei guai per aver superato la portata del loro impegno. Non farlo. Rispetta sempre ciò che è stato concordato e se ti chiedi se un metodo specifico va bene, questo è un ottimo segno che dovrebbe essere esplicitamente dichiarato da qualche parte come metodo che potresti impiegare. Voglio dire, se non ti è chiaro, probabilmente non lo è nemmeno per il cliente.

35
Tom