Para realizar un buen trabajo, y no incurrir en falsas expectativas con el cliente, o simplemente no dañar las infraestructuras de la empresa, es importante definir todos los puntos que van a ser objeto del mismo, y lo que es mas importante, el como. Sugiero una seria de preguntas a realizar en las entrevistas previas o reflexiones con los responsables de la organización, de carácter ejecutivo (nunca técnico, aburres al gerente) como las que pueden ser:
- ¿Quien autoriza el test de intrusión?. Quizás al informático le guste tener auditados sus sistemas, pero al gerente no le haga mucha gracia que "intrusos" meroden por sus instalaciones ( porque como somos buenos, lo vamos a lograr xD).
- ¿Cual es el objetivo del test?. Hay que intentar percibir lo que la organización espera de nuestro trabajo. Quizás a la empresa le importe menos un defacement en su web, que pueden solucionar en 5 minutos, que el acceso a su red física.
- ¿Cual es la linea de tiempo?. Quizás a primeros de mes, cuando la empresa cierra su facturación, no le interese que estemos ralentizando los servicios.
- ¿Comprende el cliente la diferencia entre un test de vulnerabilidades, que simplemente informará de los fallos encontrados, y un test de intrusión, en el que "entraremos hasta la cocina" llegando a encontrar 0-day´s?.
- ¿Participará el departamento de tecnologías de la información en el proceso?. Puede ser que dediquemos 10 días a la seguridad de un sql server encontrado, que le quedan 2 semanas de vida porque va a ser migrado a otro server/versión.
- ¿Están permitidos los ataques de ingeniera social?. No se si le hará gracia al gerente que te ligues a su secretaria por badoo para sacar información.
- ¿Están permitidos los ataques de denegación de servicio?. Esta no la explico xD.
- ¿Están permitidos los ataques a elementos físicos?. Por ejemplo, robar una tarjeta de acceso a instalaciones. Conectar el pc en puntos no vigilados. Acceder al PTR del ISP para hacer MITM físico.
- ¿Restricciones en rangos de ip´s?. Aunque sea un test de caja negra, puede ser que la organización no quiera auditar un servidor en concreto...porque es el servidor del porno del informático? o porque es un sistema en outsourcing. Es importante transmitir que aunque un aparato/sistema conectado a la red, aunque sea mantenido por otra empresa, o sea propiedad de otra empresa, puede ser el eslabón de la cadena a romper para insecurizar la organización.
- Especificaciones legales del sector de la empresa.
- Servicios IT externos. Si la empresa tiene un servidor de correo, pero tiene el registro mx en un proveedor externo, podemos atacar dicho proveedor para conseguir auditar el servidor interno de la empresa?.
Otro día seguiremos con más aspectos "ejecutivos" y lo mismo de precio xD.
UPDATED: Ejemplo sencillo de contrato pen-test. básico, pero se puede trabajar sobre el.
http://www.counterhack.net/permission_memo.html
Inseguros !!!