Re: Cercasi: Manleva per Pen-test

On Wed, Apr 09, 2003 at 12:38:44AM +0200, Marco Marabelli wrote:
> > Noi usiamo questo testo, credo possa andare bene x tutti.
> > Zen ha avuto una buona idea, si potrebbe aprire una sezione apposta nel
> > sito ove pubblicare non solo questo documento ma anche tutta la
> > documentazione legale e non, comunque inerente alle nostre attivit?
> 
> [snip]
> 
> riflessione: (puo' essere che ne abbiamo gia' parlato)...
> 
> _ma_ la responsabilita' delle aziende oggetto del pen-test nei confronti dei
> carrier?
Il vero problema non e' relativamente ai denial of service, in fin dei
conti se la connettivita' su cui si trova il mio cliente e' 256k non gli
faro' un flood da 34MBit per dimostrargli che e' possibile saturargli la banda.

La criticita' maggiore e' relativa agli asset di proprieta' del isp (che non
e' necessariamente un carrier), spiego:

Il cliente X compra da me Y un servizio di penetration testing.
Il cliente X ha connettivita' con l'ISP Z.
Il cliente X ha incluso nel servizio di connettivita' dell'ISP Z una classe di
indirizzi ip ( esempio 1.2.3.0/24 ) .

Il cliente X sottoscrive la lettera di manleva responsabilita' che io Y gli
sottopongo in cui lui mi autorizza gli attacchi verso tutti i sistemi presenti
nella sua rete ( 1.2.3.0/24 ) dichiarando che ci sono solo sistemi di sua
proprieta' e mi solleva da ogni responsabilita'.

Ed e' qui l'errore, perche' noi sappiamo che il router dell'ISP Z ha due
indirizzi ip, uno sull'interfaccia verso il backbone e uno verso la LAN .

Quello verso la LAN fa' parte dell'indirizzamento 1.2.3.0/24 MA l'asset in
questione NON e' proprieta' del cliente.

Durante attivita' di penetration testing mi sono trovato di fronte alla
possibilita' di violare il router di connettivita' in casa del cliente ( che
tecnicamente significa riuscire nel pentest tra intercettazioni e hijacking..)
ma non ho potuto farlo perche', per quanto il cliente mi abbia garantito che su
quella rete ci sono solo sistemi di sua proprieta, io so' per certo che
quell'asset non gli appartiene.

L'unica soluzione e' chiedere al cliente di richiedere al suo ISP l'autorizzazione
ad effettuare attivita' di pentesting verso il router.
Questo perche' il cliente non puo' autorizzarmi e sollevarmi da responsabilita' penali nei
confronti di terzi (altrimenti io, naif, potrei autorizzare vecna a entrare in casa
di koba e a portargli via il powerbook e nel diritto le cose non stanno
proprio cosi'...) .

Saluti

> e se io intaso un nodo per fare un DOS a un'azienda ... (e magari io il DOS
> lo faccio da Rozzano, con pacchetti giganti, che il carrier fa passare (!!!)
> e l'azienda in oggetto ha un'ADSL)?
> Il carrier chiama me, io gli giro la LAR, e chi deve rispondere di tutto
> cio' e' l'azienda che mi paga per il pen-test. O no?

--

Fabio Pietrosanti ( naif )
E-mail: fabio@pietrosanti.it - naif@sikurezza.org - fpietrosanti@acm.org
PGP Key available on my homepage: http://fabio.pietrosanti.it/
--
And you will learn to be paranoid and cynical...
--

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List