On Nov 25, 2009, at 10:01 AM, Julien Reveret wrote:
Bonjour,
Tout d'abord je pense que ce mail (quoi que vous en disiez sur la
qualité technique) a son grand mot a dire ici. Je pense que je ne
suis
pas le seul à avoir ce type de réaction du FAI.....Depuis a peu pres
de 10 ans de Tests d'intrusions c'est le premier mail reçu de mon
FAI.....
Se pose donc une réelle question; comment "avertir" les services
abuses des FAI que les connexions peuvent être utilisées pour ce type
d'accès..sans pour autant avoir un client qui se dévoile totalement
(respect de la confidentialité toussa...)
J'aurais tendance à dire que si les choses ont été bien faites,
alors tu
ne devrais pas avoir à les contacter.
Un petit paragraphe sur la partie "source" :
Je ne vais pas t'apprendre ton métier, tu le fais sûrement beaucoup
mieux
que moi, mais normalement il faut s'assurer que le client et
l'hébergeur -
s'il en utilise un - sont au courant du test. Donc dans tous les cas
tu demandes au client un papier ou il te décharge, puis tu lui demande
d'avertir les
- hébergeurs
- FAI
et a t'en fournir la preuve a ta première demande.
Maintenant quand cela est avec un gros groupe ca peut prendre des
plombes et bloquer les choses et puis les relations entre
1/ services MKT
2/ services Tech
3/ services Sécu
sont parfois houleuse/compiqués et dur a gérer
donc soit tu attends 2 ans pour avoir ton papier, soit tu démarres....
donner les adresses IP qui vont être potentiellement détectées par les
IDS/IPS ou par l'équipe d'admin dans les logs.
Hors de question, car cela ne te met pas en condition réelles...si tu
es "whitelister" du ne test pas tous les systèmes
Extrait d'un mail recu ce matin de bonne heure (un peu plus loin)
Il est vrai que j'utilise une connexion dite "personnelle" pour
effectuer les tests, je prends toutes les précautions contractuelles
(décharge client etc....) mais la a priori le client n'a pas
"prévenu"
son "hebergeur"....
Un petit paragraphe sur la partie "destination" :
Donc tu n'as pas pris toutes les précautions cette fois ci. J'ai eu
l'occasion de faire des pentests et la règle c'est de faire un whois
sur
les IP qu'on te demande d'auditer pour savoir si elles appartiennent
bien
au client. Si ce n'est pas le cas, contacter le propriétaire pour
Non, tu dois t'assurer que le client est bien propriétaire des sites
visés et qu'il a pris les choses conformément a ce que tu lui a
demandé dans la décharge
