– root@injetionsec:~#

Como conduzir um teste de invasão,algumas dicas

18.09.2014 (5:57 pm) – Filed under: Pentest ::

Algumas dicas de como conduzir o pentest nos clientes que você for realizar o trabalho galera.

* Converse com seu cliente sobre as necessidades do teste a ser feito,não podemos deixar nada a desejar nessa parte de ante do cliente,e nessa parte que definimos o escopo,tipo de teste a ser realizado,o que e permitido e o que não é permitido no teste que estamos fazendo

* Preparação do contrato de serviço é de suma importãncia pedindo assim que o cliente assine,é feito um contrato de prestação de serviço, onde está descrito o que será realizado (escopo, horários, equipe de profissionais, permissões, etc) e assinado por contratado e contratante.

Além do contrato de seriviço,temos que fazer um contrato de sigilo,o NDA (non disclosure agreement), definindo que as informações que a equipe obteve, não serão revelados ou divulgados, excetuando-se à pessoa que assinou o contrato de prestação de serviço.

* Prepare então os profissionais que vão fazer o teste e o agende,caso tenha mais profissionais na equipe,é passado todas as informações pertinentes ao que será realizado,com isso cada profissional vai exercer sua devida função/pentest a ser realizado.

* Realização do teste em si,nesse passo é onde o teste é executado,lembrando de sempre seguir o que foi acordado com o cliente e respeitar as cláusulas do contrato e NDA assinados no ato.

* Essa e parte á meu ver mais importante,depois de analisar os resultados então e preparado um relatório,com todas as informações coletadas, resultados obtidos e ocorrências durante a realização do teste são posteriormente reunidas e analisadas. Os resultados dessas análises são colocados em um relatório, contextualizados, e é feita a descrição, explicação e possível solução para cada falha encontrada e explorada.

* A entrega do relatório ao cliente é entregue APENAS para a pessoa responsável pela contrata-
ção do teste de invasão, ou definido no contrato,porque a maioria das informações contidas em tal relatório são extremamente sensíveis, deve-se tomar o máximo cuidado possível para que o mesmo não caia nas mãos de pessoas sem autorização para ter acesso ao mesmo.

E até importante é ideal que a equipe que realizou o pentest não guarde nem mesmo uma cópia do relatório, e isso deve ser definido no NDA e no contrato de serviço,isso é fato para evitar qualquer vazamento de informações sensíveis e importante.

> Os aspectos legais

Devemos lembrar que qualquer que seja o pentest realizado sem a devida permissão e crime.

Temos que ter em mente um contrato prévio assinado pelo cliente,onde sera definido alguns requisitos :

– Limites dos testes, “ate onde posso ir ?”
– Horários com período de menor utilização ou menos críticos
– Uma equipe de suporte se o ataque tiver algum efeito mais drástico
– Contatos de pelos menos três pessoas como e-mail,endereço e telefone
– Permissão devidamente assinada pelo responsavel da empresa e com os devidos nomes das equipes autorizadas a realizar o testes

Dentro do que foi acordado, devemos ter o máximo cuidado para não causar comprometimentos que tragam algum tipo de prejuízo ao cliente, como a indisponibilidade de informações,se possível, é interessante reproduzir o ambiente de testes em máquina virtual para tentar aproximar-se do possível comportamento do ambiente antes de iniciarmos os testes,isso evitaria a maior parte dos comprometimentos não planejados à infraestrutura do cliente.

Fico por aqui galera =)