Buenas a todos, ya estamos a último día de mes, y comienzan para muchos las deseadas vacaciones de verano :) Por nuestra parte, mañana daremos comienzo a unas semanas de descanso para retomar con fuerzas renovadas la nueva temporada de Flu Project a partir del próximo 2 de septiembre. ¡Así que vamos a por el último artículo!
En muchas ocasiones nos encontramos en nuestro día a día con algunos administradores de sistemas y seguridad, CISOs, etc. que, permitidme la expresión, han toreado en muchas plazas, y pueden ser algo hostiles. También nos encontraremos casos como el del típico administrador que, bajo cualquier ralentización de la red, o caída no controlada (por su incompetencia, generalmente), enseguida está pidiendo a su director que finalicemos los trabajos de pentesting, acusándonos del problema, cuando la realidad es que simplemente no quiere ser auditado para que no salgan a la luz las vergüenzas de su mal hacer. ¿Os suena, verdad? }:)
En muchas ocasiones nos encontramos en nuestro día a día con algunos administradores de sistemas y seguridad, CISOs, etc. que, permitidme la expresión, han toreado en muchas plazas, y pueden ser algo hostiles. También nos encontraremos casos como el del típico administrador que, bajo cualquier ralentización de la red, o caída no controlada (por su incompetencia, generalmente), enseguida está pidiendo a su director que finalicemos los trabajos de pentesting, acusándonos del problema, cuando la realidad es que simplemente no quiere ser auditado para que no salgan a la luz las vergüenzas de su mal hacer. ¿Os suena, verdad? }:)
En este tipo de situaciones, nosotros solemos adoptar ciertos mecanismos de protección, que nos han venido bien para resolver disputas sobre, quién ha tirado qué, de una forma rápida e indolora, sin tener que recurrir al análisis de los logs que pudiesen tener (porque... todo el mundo tiene logs de todo, ¿verdad? :P)
Lo primero que recomendamos es indicarle al cliente una de nuestras IPs fijas, y canalizar todos los ataques que realicemos por ella. Aunque trabajemos en remoto desde casa, vía VPN saldremos siempre por esa dirección IP. De esta manera garantizamos que ante cualquier ataque "real", estaremos 100% cubiertos y no podrán acusarnos de un ataque "inapropiado".
También podéis aprovechar esta situación para pedirles que añadan la dirección IP a las listas blancas, para así avanzar más rápidamente en las pruebas, en función del tipo de revisión que sea realizada.
Otra recomendación que os haría es capturar todo el tráfico de red, y guardarlo en un disco externo hasta, al menos, que el informe sea entregado.
Un simple tcdump como el siguiente, sería más que suficiente para registrar todos nuestros ataques:
tcpdump -i eth0 -w pentest1.log
Finalmente, recomendamos grabar la salida de la consola, o al menos, custodiar el "history" sin machacarlo. Para grabar la salida podéis hacer uso del comando "ttyrec".
Instalación: apt-get install ttyrecGrabación: ttyrec -a pentest2.ttyReproducción: ttyplay pentest2.tty
Con estos tres pasos sencillos, estaremos más que protegidos en aquellos pentests, que por su hostilidad, puedan dar problemas. Lo más importante, más que capturar todas las evidencias posibles de nuestro trabajo, es que el administrador "sepa" que los estamos capturando, ya que de esta manera, se cohibirá más a la hora de acusarnos, y verificará con más ahínco, que los problemas no se hayan visto producidos por una mala configuración, un mal dimensionamiento de su red, etc.
¿Y vosotros qué medidas soléis tomar para protegeros en los pentests hostiles?
¿Y vosotros qué medidas soléis tomar para protegeros en los pentests hostiles?
¡Nos vemos en septiembre, un abrazo!
En mi labor cotidiana, y dependiendo del tipo de análisis, acostumbro enviar correos de inicio y fin de tareas, porque ya me tocó responder una llamada a las 21hs porque "la red estaba muy lenta, y podría ser por las pruebas".
ResponderEliminar