Un articolo di ieri relativo all'ennesima shell PHP con annessa backdoor
[1], ha rafforzato i miei timori sull'uso di tool poco conosciuti
durante i test di sicurezza verso ambienti di produzione.
Lavoro in un ambiente "enterprise", in cui mi limito ad usare tool
commerciali di grosse case o open source rinomati (Nmap, Nikto ecc).
Salvo rare eccezioni, i tool poco conosciuti che vanno oltre la mia
capacita' di analisi (es. script ExploitDB con blob binari, framework
PowerShell che nascono e muoiono come meteore) sono esclusi,
specialmente se necessitano di privilegi local elevati o di credenziali
sull'obiettivo. Non avendo io tempo e competenze per scrivere exploit,
cio' naturalmente limita di molto i risultati.
Come fate voi? Qual'e' il confine fra un tool sicuro ed uno pericoloso?
Dipende dall'obiettivo? Che precauzioni prendete quando eseguite tool
nuovi? Sono mai state formalizzate best practice a riguardo?
Saluti
ED
[1]
https://isc.sans.edu/forums/diary/Another+webshell+another+backdoor/22826/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
