2013/1/16 Giuseppe Gippa Paterno' <[email protected]>: > Ciao Andrea, Ciao Giuseppe. Felice di rivederti qui. Sai chi sono, no ? > > innanzi tutto grazie per aver tenuto vivo l'interesse nel penetration > test e -da quello che ho capito nel thread- della tua contribuzione a > BackBox, e' importante interagire con la comunita', non solo "prendendo" > tools e documenti, ma anche scrivendo documentazione e contribuendo ai > progetti opensource. Ti sarai accorto che c'e' sempre da imparare, anche > se hai qualche anno di esperienza. > > Considera quindi quello che scrivo, e che viene scritto, un modo per > migliorare sia l'articolo che le modalita' di contribuzione. > Premetto che ho "smesso" l'attivita' di network pentest da un po' > perche' il mio lavoro mi ha "portato" in altre direzioni. > > Nelle mie precedenti esperienze ho visto (e lo dico anche ai colleghi di > lista) dei "pentester" che usavano solo nmap e che riportavano l'output > di nmap su di un documento, e non ne ho visti pochi. Cosi' come ho > visto clienti che chiedevano di "andarci piano", solo per non far vedere > all'upper management che era un colabrodo .... te lo immagini qualcuno > che ti dice: picchiami ma non farmi male?? :) > > Io considero il pen-test VERO molto piu' simile ad un arte: ti vengono > insegnate le tecniche di pittura, ma cosa dipingere e l'interpretazione > e' solo del pittore. E qui capisci se un "pittore" e' bravo o no, se > "copia solamente" o "ricerca il suo stile". Io penso che sia questo un > po' lo spirito del pen-tester: un artista che, attraverso le > "indicazioni" fornite dagli strumenti, capisce ed inventa un modo di > "entrare" nelle macchine (ovviamente in modo etico ;), anche senza fare > danni. Il mio senso estetico mi porta a darti ragione. Ma non andrebbero dimenticate l'emergere delle metodologie di pen test volte a indirizzare in modo industriale, o quantomeno non improvvisato, l'attività. Ve ne sono di diverse. Non dicono nulla di veramente nuovo ma sistematizzano quanto necessario. In una attività professionale di pen test è importante. Ma, chiaramente, se l'attività di pen test è tale, e non solo un vulnerability assessment, ci vuole fantasia, competenza, quel senso di conoscenza trasversale che non si traduce nell'uso indiscriminato di tool, ma nella consapevolezza di quello che si vuole fare e come farlo, con i limiti imposti (cfr, no terminal disponibile è classico, non uso o uso di software sulla macchine target anche ecc.). > > Sempre in quest'ottica, non sempre l'attitudine alla fase creativa del > pentesting vero e proprio sono conciliabili con il reporting. > Per fare un ottimo lavoro, devi sia saper cercare vulnerabilita', che > produrre della documentazione degna di questo nome. E' difficile trovare > una persona che sappia fare bene entrambe le cose, ma non e' infrequente > che due persone con due attitudini diverse si "coalizzino" per fare > insieme le attivita' e una si specializza sul pentest e una sulla > documentazione. Chiaramente è una osservazione corretta di base. Ma un vero pen test report presenta documenti con diversi gradi di dettaglio, da un executive summary a un report di dettaglio di quanto visto, e realizzato e analizzato. E' quello che poi esprimi più avanti nella mail. Il secondo richiede l'intervento diretto del membro del red team, difficile che lo possa fare un'altro. > > Non c'e' una ricetta magica per il pen-testing, va molto a "pancia". Ripeto,Esistono standard, metodologie, Giuseppe. Vengono anche insegnati in vari corsi, come il SAN560, fra i tanti, In varie fasi è richiesta fantasia, competenza,un briciolo di ethical hacking e via discorrendo > Essendo fuori dal giro da un po', persone in lista ti possono dare > consigli su come e che strumenti usare durante l'attivita', ma penso che > per essere un VERO pentester ti si debba accendere la lampadina. Vabbe' > poi ci sono quelli che lo fanno tipo ciclostile, ma quello e' purtroppo > una questione di biz e brutte abitudini. Molte aziende, debbo immaginare, non richiedono molto di più. E, poi, non dimentichiamolo mai, è una questione di COSTI e di TEMPI. Vediamo. Il pen test trivial - che viene chiamato così per comodità - fanno una analisi delle vulnerabilità con un tool, tipo nessus. Si trova un problema noto come SSL CRIME ed è medium: te lo riportano così come è. Quanto vale questo pen test ? zero. Lo può fare chiunque, anche un ragazzo di 12 anni. A chi serve, che valore aggiunto da ? Andiamo avanti. Il pen tester di prima fa una analisi del problema, una valutazione del rischio - tipo ma il problema qual'e', in quali scenari, con che software c'e' il problema, quanto è applicabile: da un valore aggiunto. Ma non basta, se è un pen test vero : cerca di verificare se quanto rilevato è REALMENTE applicabile, fa un attacco e riporta le sue evidenze (il fatto che non ci riesca a sfruttarlo NON vuol dire che il problema non c'e' naturalmente, ma potrebbe essere solo un limite di tempo ad esempio, imposto nel pen test).
Le ultime due modalità sono le sole che danno valore aggiunto, ma richiedono personale specialistico, sempre up2date - :=) no Gippa ? Ha un costo, e bisogna essere pronti a pagarlo. Ciao a tutti ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
