Gå til innhold

To pentestere arrestert for innbrudd i domstol. Var på oppdrag for å sjekke sikkerheten

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Teit å ikke komme med et minimum av beskrivelse på hvor omfattende de har tenkt å gjennomføre pentesting, for å få jobben godkjent i forkant.

Nja, vanskelig. Noe av poenget er her å finne måter å komme rundt etablerte sperrer; fysiske, tekniske og elektroniske. Sier en fra sånn ca hva en har tenkt å prøve kan forsøket lett bli ødelagt av at folk hos kunde ikke lenger gjør hva de normalt hadde gjort.

 

Arrestasjoner pga dette har skjedd tidligere også, men aldri sett det i media før. Den lekkasjen er rimelig uprofesjonell.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

Teit å ikke komme med et minimum av beskrivelse på hvor omfattende de har tenkt å gjennomføre pentesting, for å få jobben godkjent i forkant. ?

 

Det er ofte mot sin hensikt å presisere hva en skal forsøke for å få tilgang til systemene.

 

"Vi skal sende deg spearphishing per epost i morgen, hvis det ser legitimt ut kan du trykke på linken eller laste ned vedlegget!"

 

Fysisk innbrudd er helt legitimt for skikkelig penetrasjonstesting. De skal tross alt imitere en motivet angriper, og de kan like gjerne bryte seg inn fysisk som digitalt, avhengig av hva som er lettest.

  • Liker 2
Lenke til kommentar
Sandormen

Sandormen

Skrevet
Skrevet

Det er ofte mot sin hensikt å presisere hva en skal forsøke for å få tilgang til systemene.

 

"Vi skal sende deg spearphishing per epost i morgen, hvis det ser legitimt ut kan du trykke på linken eller laste ned vedlegget!"

 

Fysisk innbrudd er helt legitimt for skikkelig penetrasjonstesting. De skal tross alt imitere en motivet angriper, og de kan like gjerne bryte seg inn fysisk som digitalt, avhengig av hva som er lettest.

Om du går til skrittet med å bryte inn (fysisk) må man jo ha en avtale med den ansvarlige som bestiller oppgaven (pentestingen). Man behøver ikke si i detaljer hva man gjør, bare enkelt å greit gjøre det klart at de vil forsøke å gjøre innbrudd. Eventuellt få forkastet den delen av prosjektet. ?

 

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

  • Liker 1
Lenke til kommentar
Zork

Zork

Skrevet
Skrevet

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

 

Skjønner ikke helt den analogien...

 

Du ansetter vel ikke en gartner for å sjekke hvor godt du følger med på om noen herjer med, og ødelegger, hagen din?

  • Liker 7
Lenke til kommentar
G

G

Skrevet
Skrevet

Merkelig at det ikke står en oppdragsgiver klar på innsiden for å fortelle politiet at de var ansatt til oppgaven. Når domstolen ikke spiller på lag, så må de vel kunne regne med at selskapet som utførte oppdraget kommer til å be om utlegg for tort og svie?

Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

Om du går til skrittet med å bryte inn (fysisk) må man jo ha en avtale med den ansvarlige som bestiller oppgaven (pentestingen). Man behøver ikke si i detaljer hva man gjør, bare enkelt å greit gjøre det klart at de vil forsøke å gjøre innbrudd. Eventuellt få forkastet den delen av prosjektet. ?

 

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

De hadde jo den avtalen.

 

Igjen, det er ofte mot sin hensikt å presisere slikt. Hvis kunden vanligvis ikke låser døren, så kan du være sikker på at de gjør det i to uker når du skal sjekke fysisk sikkerhet. Testen representerer da ikke lenger normale forhold og kunden sitter igjen med en illusjon om sikkerhet.

 

Hvis de må ødelegge noe for å bryte seg inn må de naturligvis erstatte det. De har jo ikke lov til å herje rundt og ødelegge digitalt heller. Det er helt vanlig å få en liste over kritiske servere som ikke skal røres.

 

Ellers rar sammenligning. Som ble nevnt ovenfor her, du ansetter skjeldent en gartner for å sjekke om du følger med på hva som skjer i hagen din. Hvis du derimot gjør det, er det litt rart å klage i ettertid fordi gartneren gjorde ting på nattestid, og du ikke var forberedt på det.

Lenke til kommentar
EWNN849Y

EWNN849Y

Skrevet
Skrevet

Det er ingen grunn til å skrive at "jobben ikke gikk helt etter planen" dersom pentesting blir oppdaget. Pentestere vet veldig godt at de blir oppdaget nå og da, og at de også skal ha planlagt slike situasjoner.

 

I denne saken kan det hende at sikkerhetsselskapet (Coalfire) har gjort en eller flere feil da kontrakten på oppdraget ble inngått. Nå og da hender det også at en klient ønsker å etterprøve at pentestere faktisk har fulgt de avtalte spilleregler for et oppdrag.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...