Ciao Andrea,
innanzi tutto grazie per aver tenuto vivo l'interesse nel penetration
test e -da quello che ho capito nel thread- della tua contribuzione a
BackBox, e' importante interagire con la comunita', non solo "prendendo"
tools e documenti, ma anche scrivendo documentazione e contribuendo ai
progetti opensource. Ti sarai accorto che c'e' sempre da imparare, anche
se hai qualche anno di esperienza.
Considera quindi quello che scrivo, e che viene scritto, un modo per
migliorare sia l'articolo che le modalita' di contribuzione.
Premetto che ho "smesso" l'attivita' di network pentest da un po'
perche' il mio lavoro mi ha "portato" in altre direzioni.
Nelle mie precedenti esperienze ho visto (e lo dico anche ai colleghi di
lista) dei "pentester" che usavano solo nmap e che riportavano l'output
di nmap su di un documento, e non ne ho visti pochi. Cosi' come ho
visto clienti che chiedevano di "andarci piano", solo per non far vedere
all'upper management che era un colabrodo .... te lo immagini qualcuno
che ti dice: picchiami ma non farmi male?? :)
Io considero il pen-test VERO molto piu' simile ad un arte: ti vengono
insegnate le tecniche di pittura, ma cosa dipingere e l'interpretazione
e' solo del pittore. E qui capisci se un "pittore" e' bravo o no, se
"copia solamente" o "ricerca il suo stile". Io penso che sia questo un
po' lo spirito del pen-tester: un artista che, attraverso le
"indicazioni" fornite dagli strumenti, capisce ed inventa un modo di
"entrare" nelle macchine (ovviamente in modo etico ;), anche senza fare
danni.
Sempre in quest'ottica, non sempre l'attitudine alla fase creativa del
pentesting vero e proprio sono conciliabili con il reporting.
Per fare un ottimo lavoro, devi sia saper cercare vulnerabilita', che
produrre della documentazione degna di questo nome. E' difficile trovare
una persona che sappia fare bene entrambe le cose, ma non e' infrequente
che due persone con due attitudini diverse si "coalizzino" per fare
insieme le attivita' e una si specializza sul pentest e una sulla
documentazione.
Non c'e' una ricetta magica per il pen-testing, va molto a "pancia".
Essendo fuori dal giro da un po', persone in lista ti possono dare
consigli su come e che strumenti usare durante l'attivita', ma penso che
per essere un VERO pentester ti si debba accendere la lampadina. Vabbe'
poi ci sono quelli che lo fanno tipo ciclostile, ma quello e' purtroppo
una questione di biz e brutte abitudini.
Considero la fase di reporting una cosa molto importante, perche' e' da
li' che "trasuda" il lavoro del pentester. In generale, strutturo/avo
cosi' la documentazione:
* Executive Summary
* Action Plan & Next Steps
* Findings summary
* Findings details (le vulnerabilita' vere e proprie)
* Appendix (i risultati "raw" dei tools)
Non ti scordare la cosidetta "manleva", magari qualcuno nella lista puo'
consigliarti un modello.
Spero che sia stato in qualche modo utile.
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
