– root@injetionsec:~#

Algumas dicas de Pentester

15.07.2014 (10:44 pm) – Filed under: Pentest ::

Bem galera para os empregados cujo trabalho é a realização o pentest na empresa que te contratou ou que você trabalha,tem que ter um pouco mais de de flexibilidade é de certos cuidados , vou tentar descrever abaixo algumas desses detalhes que devemos ter.

* Acordo de Confidencialidade

Essa parte e muito importante quando esta fechando o contrato com cliente em si,este se destina a proteger a confidencialidade
e privacidade de qualquer informação que você recolhe durante o projeto,você então deve assinar é prometer que vai manter os dados do seu cliente confidenciais durante todo o processo do pentester realizado,basicamente esse acordo deve estar mais ou menos explicito:

Este acordo inclui imagens, captura de teclas, documentação(incluindo todos os rascunhos, bem como a liberação final), os arquivos que gravou,qualquer e-mail que você possa ter trocado com o seu cliente,manuais,planos de negócios, planos de marketing, informações financeiras, e qualquer outra coisa que remotamente tem a ver com o projeto,isso tudo  não é simplesmente um acordo de sua parte não falar sobre os ativos do seu cliente e sim um acordo para manter todos os dados relacionados ao seu cliente a sete chaves.

 

* Obrigações da Empresa

Uma vez que o contrato é assinado por ambas as partes, a empresa é obrigada a respeitar pelo contrato de forma igual,no entanto, é importante certificar-se  que o contratante é dado apenas o direito do acesso para completar o trabalho que você perguntar a eles, mas nada mais. Um salvaguardar possíveis é você  inclui na rede e nos sistema de monitoramento e registro,no caso de falhas no sistema ou destruição inadvertida de dados, você pode determinar se o contratantes  violaram ou não o  acordo contratual.

Outra garantia é ter um acompanhante enquanto nas dependências da empresa. Isto não é na intenção de prejudicar o profissional durante suas atividades, mas para reduzir a chance de uma divulgação de informações inadvertida não relevantes para o projeto,não seria desagradável se o contratante ouviu informações  relacionadas a estratégia de negócios da empresa, simplesmente porque ele estava no corredor errado e na hora errada.

Outro benefício para a escolta é que se o contratante encontra um problema há alguém disponível imediatamente para começar a resolver o problema,economizando tempo para ambas as partes.

Em alguns dos ambientes mais sensíveis, não é incomum para controlar as atividades do contratante,em caso de pentests realizados em interior de instalações militares , governo onde os dados classificados e redes existem precisam de medidas extremas são tomadas para restringir os dados saiam do estabelecimento.

Normalmente, todos os testes de penetração que ocorrem dentro das instalações  nenhuma documentação ou computadores têm a permissão para entrar ou sair da instalação (na verdade, se entrar nas instalações,muitas vezes não são autorizados a sair.)

 

* Obrigações dos contratante

Além da estipulação de que o contratante deverá manter todos os dados confidenciais, deve ter uma cláusula detalhando como o contratante pode usar qualquer informação que se reúnem.

Tipicamente, o contratante só vai divulgar as informações para funcionários, diretores, ou empregados com “Necessidade de saber,a única exceção seria se não houver um acordo por escrito autorizando á divulgação a terceiros,mas isso certamente não é um pedido incomum,

Certifique-se que antes de enviar qualquer coisa para sua lista de destinatários autorizados  não mudou

Outra obrigação, muitas vezes incluído no seu contrato será mais detalhes sobre a entrega e destruição de dados. Isso geralmente inclui um limite de tempo da rapidez com que você terá todas as informações confidenciais (mesmo no caso de prematuros contrato terminação) e como você vai destruir qualquer outros meios relacionados a seu cliente(incluindo todas as notas, screenshots, e assim por diante, você tem feito ao longo do caminho).

Muitas vezes você vai precisar apresentar para o seu cliente um certificado de destruição em um determinado número de dias depois de destruído o material.

Para aqueles não familiarizados com um certificado de destruição, esse documento geralmente contém uma lista detalhada, contendo uma descrição das informações eliminados, data da destruição  que autorizou a destruição, o método de destruição (substituindo, retalhamento, reformatação, e assim por diante), e as testemunhas que viram essa destruição,o método de destruição pode ser ditada pelo cliente.

Há quase certamente será colocado restrições adicionais sobre o contratante, como o uso de login usuario/ senhas (que pode proibir você de adicionar novos usuários aos sistemas ou a rede), quando e como você pode acessar seus próprios  sistemas, quais os dados que você tem permissão de acesso, ferramentas de software que você pode usar (eles vão provavelmente proibir o uso de backdoors, vírus e assim por diante), e que tipo de  ataques deve ser usado (ataques de negação de serviço são freqüentemente proibidos.)
Como um empregador, se você não colocar essas  questões no contrato, você pode estar em risco,estas obrigações proteger não só a empresa que contratou, mas também protegê-lo -o contratante,é muito melhor obter cada detalhe, por escrito, do que ter que recorrer a ações judiciais para resolver as diferenças.