web-dev-qa-db-fra.com

Dois-je présenter des documents contrefaits dans un test de pénétration / engagement de l'équipe rouge?

Une de mes précédentes questions a conduit à cette discussion qui a mentionné le sujet de la falsification de documents.

J'ai vu beaucoup de gens (dans des vidéos) falsifier des identifiants et des badges d'employés pour de tels engagements, ce qui semble être un bon test. Cependant, si on lui demande de présenter un document plus critique/sérieux comme un feuillet "Permission d'attaquer" (lorsqu'il est pris), ou si un officier de police lui demande présenter une pièce d'identité, devrions-nous les tester en leur montrant d'abord une fausse fiche "Permission d'attaquer" ou une ID et montrer uniquement les vrais documents s'ils sont capturés?

37
John Zhau

Cela dépend de la portée de l'engagement.

Si le client veut que vous vous concentriez sur une tâche spécifique (par exemple contourner les verrous, l'ingénierie sociale, etc.), alors c'est tout ce que vous êtes autorisé à faire et tout ce que vous êtes légalement autorisé à faire.

Si le client souhaite que vous utilisiez "tout ce qui est légal", afin de simuler au mieux un véritable attaquant, vous pouvez en effet lui présenter une fausse autorisation d'attaquer, éventuellement même avec des instructions ajoutées que vous devez rester seul pendant l'engagement.

Pourquoi ferais-tu ça? Afin de vérifier si le personnel de sécurité vérifie réellement qu'une autorisation d'attaquer est valide ou non. Sinon, un attaquant pourrait présenter une fausse autorisation d'attaquer et l'utiliser pour accéder à la société?

Qu'en est-il de l'application des lois?

Jamais montrer aux forces de l'ordre un faux document ou leur mentir sur qui vous êtes ou ce que vous faites. Vous testez l'entreprise, pas les forces de l'ordre.

Ou pour le dire simplement: lorsque vous parlez à la police, vous n'êtes plus un pentester.

110
MechMK1

À moins que votre engagement soit avec la police, ils sont hors de portée et vous êtes pas autorisés à les tester. Si quelqu'un a appelé la police, vous avez déjà perdu, en fait. Vous devez les arrêter juste avant de faire cela (mes amis qui font ce genre de choses travaillent en Angleterre, où le numéro d'urgence est le 999 et leur principe est qu'ils abandonnent quand quelqu'un compose le 2e "9").

Plus précisément, vous n'avez pas la permission d'attaquer la police. Votre feuillet ne couvre pas le mensonge à la police ou la présentation de faux documents à la police.

Lorsque vous agissez dans la portée de votre autorisation d'attaquer, les documents falsifiés sont généralement corrects, mais j'inclurais certainement une mention de ces tactiques dans l'un des documents signés, soit l'autorisation elle-même, soit l'offre ou quelque chose d'autre approprié. Juste au cas où quelqu'un n'est pas un fan, vous voulez avoir quelque chose d'écrit qui dit "mais nous avons convenu que de telles méthodes peuvent être utilisées".

Il y a eu un certain nombre de cas récents où les pentesters ont eu des problèmes pour avoir dépassé la portée de leur engagement. Ne fais pas ça. Restez toujours dans les limites de ce qui a été convenu, et si vous vous demandez si une méthode spécifique convient, c'est un très bon signe qu'elle devrait être explicitement indiquée quelque part comme une méthode que vous pourriez utiliser. Je veux dire, si ce n'est pas clair pour vous, ce n'est probablement pas clair pour le client non plus.

35
Tom