Re: CORE SDI (was: pen test blah blah blah)

>Ciao,

>non commento sull topic legato al pen test, in quanto e' un argomento
>troppo soggettivo.. [cut]

Ciao Rodolfo, hai ragione sul fatto che i pen-test sono un'argomento troppo
soggettivo, però un tuo parere credo sia molto autorevole.

>La loro idea e' quella di automatizzare i pen test avendo un software, una
>sorta di worm, che buca le macchine a ripetizione in maniera da non fare un
>semplice vulnerability assessment esterno ma andare automaticamente a tutti
>i livelli  scalando i privilegi in automatico.

Sinceramente non penso sia auspicabile nel futuro un' "automatizzazione" dei
penetration test;
Io considero questo come un lavoro altamente delicato, e non credo che un
mio cliente appoggerebbe il fatto di "installare" un worm nella rete.
Ho parlato proprio oggi con un'amministratore delegato di una azienda per
l'ipotesi di pen-test sulle sue macchine: di solito il fattore principale
che spinge ad effettuarlo è testare la criticità del contenuto altamente
riservato della macchina.
Per quanto ingegnioso possa essere questo software non riuscira mai a
sostituire il raziocinio e ( passatemi il termine ) l'artigianalità di un
pen-test.

Inoltre ricordiamoci che i computer fanno moltissimo nella nostra vita ma
(fortunatamente) ancora non sostituiscono la coscienza umana.

>Uno degli elementi necessari nel pen test e' poter ripulire le macchine
>dopo aver fatto i danni, quindi poter segnalare nei log quello che hai
>combinato tu, cancellare gli account bogus e cosi' via (ED EVITANDO DI
>FARSI BUCARE LA MACCHINA DEL CLIENTE DURANTE UN PEN TEST!!!
>e'
>successo ad qualcuno iscritto alla ML).

E devi dire chi è :-))

>Il software di Core SDI fallisce nella parte di pulizia e di attacco
>contestuale, cioe':
>/ pulizia
>pulire i log non puo' venire fatto automaticamente, in alcuni casi non lo
>puoi proprio fare, cosi' dai al cliente la possibilita' di capire come hai
>fatto ad aggirare le sue "difese"

Sono perfettamente daccordo con te;
Il concetto fondamente è quello di far capire i loro punti deboli e
discutere con loro le eventuali contromisure.
Comunque pensa che a me è capitato anche un cliente che voleva un vuln.
assmnt SENZA che gli sporcassi le macchine...
Un'altra volta, una società molto dedita all' e-commerce voleva un assmnt su
un'attacco di tipo DoS, in pratica avrei dovuto buttare giù il sito in un
giorno di lavoro con probabile perdità di potenziali clienti... Inutile dire
che ho rifiutato passando la palla ai colleghi del disaster recovery.

>/correlazione
>talvolta un semplice nome del server (tipo
>databasecartedicredito.dominio.com) puo' farti capire molto a riguardo del
>tuo target.
>fare la scalata dei privilegi in automatico richiede smaronarsi un bel po'
>di codice multipiattaforma e qui viene da chidersi se il gioco vale la
candela.
>in sostanza la mia opinione e' che l'idea sia buona dato che in passato una
>multinazionale mi ha chiesto se esisteva una cosa identica (ed erano
>veramente convinti di usarla), quindi un mercato c'e'. Da un punto di vista
>prettamente tecnico non mi fa impazzire, ma prima di giudicare vorrei
>vedere. L'opinione e' rafforzata dalla capacita' tecnica dei CORE SDI, che
>e' molto alta.

Sarei curioso anche io di vederla...


>PS qualcuno ha scritto che sono argentini. sono brasiliani. hanno un
>ufficio di rappresentanza anche in argentina.
>PPS hanno appena cambiato nome da CORE SDI a CORE Security Technologies.

Credo siano argentini.


p.s. io venerdi me ne vado in ferie, ci sentiamo via email per i saluti ( se
non vengo precettato )

ciao



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List