Get best of the week

Comment réussir un pentest (mauvais conseil)

Si vous avez un besoin urgent de réaliser un pentest,
alors que vous ne voulez pas obtenir une nuque,
alors consultez rapidement la
liste des astuces incroyables préparées pour vous - cela vous sauvera certainement.


Ce message est écrit de manière humoristique pour démontrer que même les pentesters , dont le travail devrait être intéressant et passionnant, peuvent souffrir d'une bureaucratie excessive et de la déloyauté envers les clients.

Imaginez une situation: vous êtes un spécialiste de la sécurité de l'information et vous savez que la protection que vous avez construite est un déchet complet. Peut-être que vous ne le savez pas, mais vous ne voulez pas vraiment vérifier, car qui veut quitter la zone de confort et faire quelque chose de plus, mettre en œuvre des mesures de protection, atténuer les risques et faire rapport au budget?

Soudain, dans votre royaume des lointains lointains, dans le royaume des années trente, il est nécessaire de mener un pentest contre votre volonté, par exemple, quelque chose est devenu étrange pour les autorités, ou une nouvelle exigence de la loi est apparue. Il est évident pour vous qu'il vaut la peine de trouver un «bureau Sharashkin», qui fera une imitation des œuvres et écrit que tout va bien et que l'affaire est terminée, mais la situation se complique. Votre entreprise décide de jouer un concours et de le faire le plus efficacement possible: rédiger une spécification technique raisonnable, présenter des exigences élevées à l'équipe Pentester (certificats, participation au Bug bounty), etc. En général, ils ont tout fait pour vous, et votre responsabilité n'est que de superviser le travail.

Ainsi, l'équipe a été retrouvée, le contrat a été signé, persuadant les spécialistes de procéder à un pentest après que les manches n'aient pas fonctionné. Les gars intelligents, ils commenceront à travailler lundi et exploseront votre sécurité de l'information, après quoi vous attraperez un chapeau et votre incompétence sera révélée. La situation vous semble la plus déplorable, mais elle était là! Voici quelques mauvais conseils sur la façon d'éliminer ou au moins de minimiser ce mal de tête.

Astuce 1: coordonnez chaque étape


Coordonnez tout: quels outils les Pentesters peuvent-ils utiliser, quelles attaques mèneront-ils, quels risques cela entraînera-t-il pour votre système SI? Encore mieux, demandez un plan de test détaillé (presque toutes les heures) pour chaque jour. Rassurez-vous: les pentesters vous détesteront. Ils pensent qu'ils ont un travail créatif, mais vous leur direz que rien n'est exigé d'eux, sauf l'exécution insignifiante du travail. Et rappelez-vous: votre arme est le temps, tirez la coordination autant que possible à chaque étape. Raison de cela avec le fait que vous avez une grande entreprise et que vous devez obtenir beaucoup d'approbations: des propriétaires de systèmes, des TI, des responsables de la sécurité, etc. Même s'il n'y en a pas, vous pouvez embellir quelque chose.

Était-ce réel?


Oui, une grande entreprise mature, et surtout des managers efficaces, ne voulant pas le faire eux-mêmes, vont trop loin avec les approbations si souvent que cela démotive toute l'équipe. Les gens n’ont pas de «motivation» pour travailler, un désir d’être créatif et de vraiment pirater quelque chose. C'est particulièrement étrange lorsque seule l'étape «élévation de privilèges» est convenue sur un serveur spécifique mardi de 15h00 à 18h00 (c'est si facile et naturel).

Astuce 2: ajoutez plus de restrictions


Ajoutez des restrictions sur le travail effectué: par le nombre d'analyses simultanées, par les adresses IP autorisées, par opération et par des attaques acceptables. Ne scannez pas les adresses IP aléatoires des sous-réseaux, expliquant cela comme un risque de perturber les processus commerciaux importants. Ou, au contraire, autorisez uniquement l'analyse de certaines adresses et prétendez que les résultats de l'analyse de l'un des services peuvent être extrapolés à tous les autres du sous-réseau.

Était-ce réel?


Très souvent au niveau du pentest interne, au lieu de permettre au pentester de traverser tous les sous-réseaux locaux (192.168 / 16, 172.16 / 12, 10/8), les clients sont invités à exclure cet hôte, ce sous-réseau et ce segment: «Ici, vous devez tester uniquement l'un des 500 hôtes comme d'habitude, et ces hôtes seulement de 17 h à 9 h - pas plus de 300 sessions TCP par seconde par hôte. » Le fait que l'œuvre soit conçue pour 5 jours ne dérange personne. Pour l'interprète, cela semble terrible: vous ne pouvez pas faire d'automatisation normale, vous devez constamment surveiller que les outils ne dépassent pas les limites autorisées, et vous devez tordre un tas de «béquilles» à tous les outils. En scannant quelque part et en collectant une liste de services, il s'avère que la majeure partie du temps a déjà été dépensée. Aussi pendant le développement sur le réseau, vous voyez: le voici - un service,qui aurait un compte privilégié ... Mais il a été exclu du scan.

Astuce 3: demandez plus de rapports


L'alignement a déjà été discuté, mais qu'en est-il des rapports? Pour permettre aux gens de travailler calmement et de fournir un rapport à la fin? Non! Demandez des rapports chaque semaine, jour, demi-journée. Référez-vous aux expériences négatives des années précédentes et au désir de contrôler le processus pour lequel ils ont payé. Wow, comment ça "met les bâtons dans les roues".

Était-ce réel?


Cela arrive souvent. Même après 5 minutes, ils commencent à s'approcher de derrière une épaule et demandent: "Eh bien, est-ce déjà piraté?" Dans le messager, l'état du travail est tiré toutes les heures, et à la fin de la journée, ils attendent le résultat final du manuel, magnifiquement conçu dans un document Word. En conséquence, le spécialiste se concentre sur la façon de rédiger un rapport, et non sur la qualité des tests.

Astuce 4: demandez à enregistrer le vidage du trafic et à écrire l'écran


En outre, les pentesters doivent enregistrer un écran et écrire un vidage du trafic réseau. Justifiez cela parce que vous craignez de divulguer des informations confidentielles ou de laisser une porte dérobée.

Était-ce réel?


Certains clients activent le mode paranoïaque et contrôlent chaque étape que vous prenez. En vérité, si c'est vraiment nécessaire, le pentester trouvera certainement comment contourner l'enregistrement d'écran ou générer le trafic nécessaire, et il n'y a pas de sens dans ces mesures, mais elles interfèrent vraiment avec le travail.

Astuce 5: communiquez avec trois gestionnaires


Communiquez avec plus de 3 gestionnaires, jouant ainsi sur un téléphone cassé et augmentant le temps. Essayez de ne pas apporter les exigences directement aux vrais interprètes, communiquez par des intermédiaires, surtout sans expérience dans la partie appliquée. En conséquence, nous obtenons une telle locomotive à vapeur que les informations changeront ou dureront très longtemps.

Était-ce réel?


Dans les grands projets, c'est plus probablement la règle que l'exception. L'agent de sécurité ordonne le travail, l'agent de sécurité supervise et le gestionnaire communique avec le pentester, parfois même pas directement, mais par l'intermédiaire de son gestionnaire. En conséquence, même en supprimant tous les autres facteurs, toute demande atteint l'objectif après une demi-journée et renvoie la réponse à une autre question.

Astuce 6: frappez la vanité


N'oubliez pas que l'essentiel, ce sont les gens. Par conséquent, pour réduire la qualité du travail, il est préférable de frapper directement sur eux, ou plutôt sur leur vanité. Demandez-leur comment ils testeraient une technologie peu connue, puis dites qu'ils attendaient plus. Ajoutez qu'il y a quelques années, les pentesters précédents ont piraté votre entreprise en 2 heures. Peu importe que le système soit différent à l'époque et qu'il n'y ait pas de SZI, et que vous travailliez ailleurs. L'essentiel est le fait lui-même: puisque les pentesters ne se sont pas fissurés en 2 heures, alors il n'y a rien à les respecter. Vous voyez que les pentesters ont navigué, - demandez une équipe de remplacement sans augmenter le temps.

Était-ce réel?


Nous entendons vraiment souvent des histoires de vieux hacks, et cela n'a rien à voir avec l'infrastructure actuelle et les processus de sécurité de l'information. Les questions sur la sécurité de cette technologie de «savoir-faire» ne sont pas rares non plus, vous devez comprendre rapidement et donner une réponse concise, ce qui n'est pas toujours suffisant.

Un autre cas intéressant: nous avons une fille pentester dans notre équipe, et quand elle vient de faire un pentest interne, les clients sont d'abord méfiants, puis ils vont la regarder comme une exposition. Tout le monde ne voudra pas travailler dans de telles conditions.

Astuce 7: Réduisez la commodité


Travailler dans un placard sombre, où le téléphone portable ne prend pas? Vous travaillez dans le coworking bruyant? Chaise cassée et grinçante? Climatiseur cassé? Pour aller aux toilettes et boire de l'eau, vous avez besoin d'un accompagnateur? Je pense que vous avez déjà compris quoi faire.

Était-ce réel?


Oui et encore une fois. Il y avait peu de cas désespérés, mais il y a suffisamment de situations où vous ne pensez pas au travail, mais à la façon de sortir rapidement d'ici en raison de conditions externes.

Astuce 8: laissez toutes les défenses proactives sur


On passe aux blagues techniques. Laissez PCI DSS et d'autres méthodologies recommander de désactiver certains SZI proactifs pour plus de tests de test - vous devez faire le contraire. Laissez les gens souffrir à la recherche d'une solution, comment tester rapidement un réseau d'entreprise, où ils sont bloqués tout le temps.

Éteignez immédiatement le port du commutateur dans lequel le pentester est coincé. Et puis crier fort que le pentest a échoué et chasser les hackers détestés de l'objet.

Était-ce réel?


Nous sommes déjà habitués à tester lorsque le SIS proactif (IPS, WAF) est activé. Il est regrettable que dans ce cas, la majeure partie du temps soit consacrée à la vérification du système de sécurité de l'information et non au test de l'infrastructure elle-même.

Astuce 9: mettez un vlan spécial


Fournissez un accès réseau irréaliste qui ne correspond pas à l'accès utilisateur typique. Qu'il n'y ait rien et personne dans ce sous-réseau. Et les règles de filtrage seront refusées \ refusées ou proches de celle-ci.

Était-ce réel?


Oui, d'une manière ou d'une autre, nous avons eu accès à un sous-réseau avec une imprimante et en étant isolé du réseau des autres réseaux. Tout le travail consistait à tester l'imprimante. En tant qu'experts techniques, nous avons bien sûr tout reflété dans le rapport, mais cela n'a rien changé. Il y a eu une situation inverse lorsque nous avons piraté la moitié de l'entreprise via une imprimante, mais c'est une tout autre histoire.

Astuce 10: Travaillez via un VPN


Mener un pentest interne dans une vraie pièce où le pentester peut obtenir un tas d'informations supplémentaires (paramètres d'un téléphone d'entreprise, d'une imprimante, écouter une conversation animée d'employés, voir l'équipement à travers leurs yeux) n'est pas votre cas. Vous devez effectuer un travail, comme si vous émuliez un "intrus interne", et ce "comment" interpréter comment cela vous convient. Par conséquent, fournissez un accès uniquement via le VPN, et il est préférable de ne pas utiliser l'itinéraire le plus court. De plus, ne faites que l'accès L3, car les attaques réseau au niveau L2 ne sont pas pertinentes [sarcasme]. Vous pouvez le justifier en économisant de l'argent: pourquoi les gens devraient-ils revenir une fois de plus, prendre des emplois, interférer avec les employés, si c'est normal.

Était-ce réel?


Oui, il est tout à fait normal de mener une pentest organisationnelle via un L3 sous-VPN. Tout se bloque, la chaîne se bouche, les outils perçoivent les retards comme une indisponibilité des services, et il n'y a rien à dire sur l'impossibilité des attaques diffusées et du MITM. Oui, et après des pentests internes normaux avec un Pentest sur VPN, comme courir sur le sable dans les patins.

Astuce 11: pas de boîte grise


Les pentesters ne devraient recevoir aucun compte, aucune documentation ni aucune information supplémentaire, même si cela est requis par le contrat. À quoi bon, il leur sera utile pour obtenir des résultats plus rapidement. Justifiez le fait qu'un vrai hacker (une image imposée dans les médias) va tout casser immédiatement. Ça dérange - donnez la documentation il y a dix ans.

Était-ce réel?


Il semble que toutes les personnes «concernées» comprennent qu'un attaquant sérieux ne s'asseyera pas et n'essayera pas de pirater le système maladroitement, il effectuera d'abord une reconnaissance, collectera les informations disponibles, communiquera avec les gens. S'il s'agit d'un intrus interne, il sait déjà qui, quoi et où. L'employé est à l'intérieur des processus et a des connaissances. Mais encore, 80% des pentests sont une «boîte noire», où vous devez venir en 5 minutes, le comprendre et le casser vous-même, sinon ce n'est pas un «pirate du travail».

Astuce 12: ne permettez pas l'échange d'informations entre les différents domaines (internes, externes et sociaux)


Réglez le travail disparate, mieux par différents spécialistes et strictement sans transfert d'informations entre les directions. Justifiez cela par le fait que vous devez déterminer avec précision les risques pour chaque domaine.

Si des informations «d'initiés» (obtenues de l'intérieur) ont été utilisées sur le périmètre externe pour le piratage, ne comptez en aucun cas de telles œuvres, dites que cela ne vous intéresse pas et ne correspond pas aux œuvres déclarées. Si les informations obtenues après «l'ingénierie sociale» sont utiles pour le pentest interne, dites aussi qu'elles ne comptent pas.

Était-ce réel?


C'est en fait l'approche du pentest classique, les résultats de chaque test sont vraiment requis indépendamment, comme si un véritable attaquant le faisait vraiment. Mais en fait, les groupes APT ne fonctionnent pas comme ça.

Astuce 13: dites à tout le monde dans l'entreprise que vous avez un pentest


Annoncez à toute l'entreprise que vous avez un pentest. Laissez tout le monde retirer les autocollants avec les informations d'identification, personne n'ouvre les pièces jointes dans le courrier et n'insère pas les lecteurs flash trouvés dans USB. Les employés avec des droits d'accès privilégiés devraient partir en vacances ou étudier et éteindre leurs ordinateurs, mais surtout, ils changeront leur mot de passe qwerty en un mot aléatoire (au moins pendant le pentest). En général, l'activité au sein de l'entreprise doit être minimisée autant que possible et la vigilance renforcée. Ainsi, vous réduirez considérablement la possibilité d'attaques visant les travailleurs et le développement au sein du réseau.

Était-ce réel?


Bien sûr que ça l'était. Vous commencez à travailler et vous voyez que les gens sont avertis, les mots de passe récemment modifiés, ils se méfient de vous. Certains ordinateurs ne peuvent pas être vérifiés, car les personnes en formation sont une «pure coïncidence».

Astuce 14: Surveiller les pentesters


Lâchez toute votre routine et surveillez simplement les pentesters. Même si vous n'avez pas de surveillance, essayez. Dès que vous voyez qu'ils ont trouvé quelque chose, bloquez immédiatement l'accès, modifiez les autorisations, supprimez les comptes, éteignez les ports. Si vous avez vraiment besoin de - licencier des gens.

Était-ce réel?


Oh, c'est généralement un "favori". Vous dites au client: "nous effectuerons un pentest et vous informerons de tout ce qui est critique, seulement vous ne changez rien, nous aidons à trouver non seulement une faille spécifique, mais à révéler de mauvais processus." Et dès que vous informez quelque chose, à court terme, cela change «accidentellement». Voici quelques cas réels.

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


Si, pour une raison quelconque, les pentesters ont quand même réussi à trouver une vulnérabilité, et ils vous demandent l'approbation de son fonctionnement, ne soyez pas d'accord; justifier la violation de l'accessibilité. Cet ordinateur portable de présentation est un service commercial essentiel!

Était-ce réel?


Oui, cela arrive aussi tout le temps. On peut voir que le serveur a des données critiques et qu'il y a une vulnérabilité, et le client ne coordonne pas l'opération. En conséquence, l'entrepreneur perd le point d'entrée, ce qui pourrait entraîner tout un tas de problèmes avec lui, jusqu'à ce que toute l'entreprise soit compromise. Et s'ils ne sont pas d'accord, le rapport dit simplement: "l'opération n'est pas convenue", et il n'y a en fait rien d'intéressant dans le rapport.

Astuce 16: suspendre le travail plus souvent


Pour tous les incidents informatiques, dites que c'est à cause du pentest et mettez le travail en pause. S'il n'y a pas d'incident, inventez-le. Demandez à fournir les journaux de tout ce que le pentester a fait avant-hier de 14h00 à 15h00 - laissez-le analyser son trafic et rappelez-vous lequel des centaines de contrôles avec quel outil et où il a été lancé.

Était-ce réel?


Non seulement les pentesters, mais la sécurité de l'information dans son ensemble en souffrent. Dès que vous commencez à effectuer des travaux, tout incident dans l'organisation conduit immédiatement à la nécessité de l'arrêter et de le trier. Le serveur est devenu indisponible - ce sont des pentesters; le virus est sorti de l'utilisateur - ce sont des pentesters; la cafetière dans le placard s'est cassée - ce sont des pentesters. Nous nous rapportons à cela avec humour et patience, mais le temps mange visiblement.

Astuce 17: Empêchez l'analyse des disques de fichiers et du courrier


Empêchez les Pentesters d'accéder aux disques de fichiers et au courrier pour analyser leur contenu. Justifiez-le par «des informations très confidentielles».

Était-ce réel?


Bien sûr, il y a 20 boîtes aux lettres d'administrateur, mais vous ne pouvez pas lire les lettres. Cependant, dans la pratique, nous avons extrait à plusieurs reprises des mots de passe supplémentaires dans le courrier, et ils ont grandement contribué à compromettre la société. Et oui, un vrai hacker, bien sûr, aurait déchargé tout le courrier et n'aurait demandé à personne.

Astuce 18: demandez à analyser le logiciel du fournisseur


Supposons que, dans l'ensemble de l'infrastructure dans son ensemble, vous souhaitez que des spécialistes analysent les logiciels des fournisseurs, surtout s'ils sont très répandus et qu'il s'agit presque d'une «version en boîte» sans configuration supplémentaire.

Était-ce réel?


Il arrive qu'ils demandent de casser un Cisco ASA pur ou quelque chose de similaire. Nous disons que ce produit est répandu et, très probablement, a été testé par de nombreuses personnes, nous pouvons vérifier la «mauvaise configuration», mais il est inutile de tout fuzz pendant le pentest. Il s'agit en fait d'une recherche 0 jour, et il est préférable de tester sur un stand en conjonction avec la rétro-ingénierie inverse. Les clients hochent la tête et demandent toujours à être testés pendant le pentest, qui sera à temps. C'est presque toujours une perte de temps.

Astuce 19: ajustez le rapport final


La chose la plus douce: si, après tout, le piratage est terminé et que les pentesters vous ont présenté la première version du rapport, demandez simplement d'en supprimer les moments critiques. Il s'agit d'une entreprise et vous devriez recevoir un rapport pour lequel vous avez payé.

Était-ce réel?


Il y a des moments amusants qui donnent envie de rire et de pleurer. Soit "supprimer le courrier du PDG du rapport", "" ce serveur doit être supprimé "," "qui vous a demandé d'entrer dans les ordinateurs du service IS - supprimez-le rapidement". Parfois la formulation se corrige, grâce à laquelle un seul et même fait du terrible devient tout à fait acceptable.

Astuce 20: Configurez un jeu féroce sur les périphériques réseau


Pourquoi pas? Si vous avez des œufs de poing d' acier et que vous avez la capacité technique, créez le chaos. Par exemple, laissez chaque paquet de 27 tcp retourné au pentester entrer cassé. L'essentiel est que personne ne le remarque.

Était-ce réel?


Pas encore, mais ce n'est pas exact. Peut-être que le comportement anormal du scanner dans l'un des 100 cas était la conséquence de telles mesures.

Conclusion


Personne n'écrit dans le rapport environ un million de problèmes survenus pendant les travaux: que l'accès a été accordé pendant 5 heures, qu'ils ont convenu de l'opération pendant 2 jours, qu'il y avait une chaise sans dossier, une muselière de fenêtre, etc. Tout cela reste dans les coulisses, et sur la base des résultats du travail, un rapport technique sec est publié, en le regardant, une personne indépendante ne comprend tout simplement pas combien la douleur est derrière lui.

Au centre de sécurité de l'information "Jet Infosystems", nous travaillons avec des moyennes et grandes entreprises. Certains de ces conseils sont réalisés par des clients en arrière-plan en raison des caractéristiques internes de l'organisation, de la criticité des systèmes d'information et d'un grand nombre de responsables. Ce sont des processus normaux pour minimiser le risque d'impact du travail d'analyse de sécurité sur les processus métier. Cependant, pour la plupart, nos mains sont déliées et des relations amicales avec les clients sont établies. Nous pouvons nous-mêmes proposer les bonnes approches et interactions adaptées aux deux parties. Même dans les organisations bureaucratiques complexes, vous pouvez toujours trouver une solution flexible et effectuer un travail de qualité, si vous êtes d'accord avec les personnes intéressées.

More articles:


All Articles