Re: Inutilita' Penetration Test

On Fri, Jul 27, 2001 at 12:12:30AM +0200, Zen wrote:
> Il mio (humble) parere: l'operazione di sedersi a fianco del
> responsabile dei sistemi informativi e' una cosa che e' buona
> e giusta, nel momento in cui si desidera fare alla ditta una
> consulenza per quelli che sono gli aspetti della security.
Perche' il penetration test non e' l'equivalente di una consulenza?
Impegna comunque la persona dedicata full-time per n giorni.

> E' un'operazione se vuoi ancora piu' costosa, che coinvolge
> molte persone sia da un lato che dall'altro, alterando 
> eventualmente processi azientali, procedure e, a volte, anche
> l'hardware e/o il software impiegato in azienda.
Sui tempi e risorse e' tutto da vedere quale fai prima... in questi ultimi
mesi ho fatto entrambe e ho notato molto meno impegnativa come tempo l'analisi
effettuata in casa del cliente, rispetto al pen-test di una azienda che si
trovava in condizioni simili per la quale ho impiegato diversi giorni in + .

Credo che interrompa "i processi aziendali" molto di + un exploit che ti
crasha IIS, il reboot di una macchina per installare un packet driver per poi
installare uno sniffer o no?
Tutte operazioni rischiose dal punto di vista della stabilita' dell'azienda
che si svolgono regolarmente durante un pen-test.

> 
> Il pen-test invece e' utile proprio perche' lo fai da remoto,
> impersonando l'entita' interessata ad accedere a dati
> che non dovrebbe poter avere, e ottenendo informazioni
> sulla rete bersaglio.
Secondo me il 40% / 50% delle operazioni che compi durante un penetration test
sono automatizzabili, come ad esempio i listing dei servizi aperti, di cui potresti avere
una bella lista in un centesimo del tempo collegandoti sulla macchina e facendo
netstat, eppoi analizzando la configurazione del firewall.
O l'identificazione dei tipi e release di software installati,
rilevabili + facilmente e dettagliatemente direttamente sulla macchina, e in
mento tempo, senza la necessita' di "exploitare" tali servizi x dimostrarne le
vulnerabilita' .

Perche' sbattermi per cercare di ottenere informazioni sulla rete, che saranno
imprecise e incomplete, quando ho la possibilita' di averle dettagliate e
complete?

> 
> La mia idea in proposito e', se vuoi, ancora piu' radicale:
> il pen-test non dovresti farlo solo da remoto, ma anche in
> locale :)
> Mi spiego: la security e' un processo, e come tale abbraccia
> tutte le parti della realta' aziendale. Quindi il pen-test
> da remoto puo' (e secondo me dovrebbe) includere trash-diving,
> divise da omino delle pulizie, e forse anche baffi finti :)))
Queste sono le famose "operazioni di verifica" che magari puo' fare una
societa' che ne acquisisce un'altra e vuole valutare on-the-road il livello di
security fisica e logica dell'azienda acquisita.

In pochi le fanno, costano uno sfacello, richiedono skill molto elevati, e
hanno poca importanza ai fini dell'assestment, che andrebbe a sfruttare il
know-how e le procedure della azienda acquirente, indipendentemente da questi
risultati.

Diciamo 1 cliente su 10.000 capita cosi'?

Il problema di base, secondo me, e' che il 90% dei penetration test, vengono visti dai
clienti, e proposti dai commerciali, come se fossero una effettiva valutazione
del livello di sicurezza "informatica" dell'azienda.
Ma questo non lo e', penso che ne siamo tutti daccordo, e sarebbe anche ora di
fare invertire questo trend, spiegare cosa offre il report di un penetration
test con tutte le sue limitazioni.. o no?

[snip]
> my 0.02E,
Raggioni gia' in euro? :Pp

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List