Frage:
Ist es normal, dass Prüfer alle Firmenkennwörter benötigen?
Zachary Iles
2017-10-25 22:20:55 UTC
view on stackexchange narkive permalink

Mein Unternehmen führt derzeit eine Sicherheitsüberprüfung durch, die als Pentest eingestuft ist. Sie haben alle Administratorkennwörter für jeden unserer Dienste und den gesamten Quellcode unserer Software angefordert. Sie möchten Anmeldungen für Google Apps, Kreditkartenprozessoren, GitHub, DigitalOcean, SSH-Anmeldeinformationen, Datenbankzugriff und vieles mehr. Beachten Sie, dass wir noch nie eine einzige NDA unterzeichnet haben (aber eine Arbeitserklärung erhalten haben), und ich zögere es daher sehr, ihnen diese Informationen zur Verfügung zu stellen.

Ist dies für einen Pentest normal? Ich nahm an, dass es meistens eine Black Box sein würde. Wie soll ich vorgehen?

"UPDATE * Wir haben jetzt eine NDA. Der Vertrag besagt jedoch, dass wir sie für nichts haftbar machen können. Wir sind uns immer noch nicht sicher, ob dies der richtige Schritt ist, um fortzufahren Nach meiner Erfahrung sind ihre Anforderungen selbst bei White-Box-Audits nicht normal, und ihre Arbeitserklärung liest sich so, dass nicht klar ist, ob es sich um ein White-Box- oder ein Black-Box-Audit handelt.

Eng verwandt: [Unser Sicherheitsprüfer ist ein Idiot.Wie gebe ich ihm die gewünschten Informationen?] (Https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-er möchte)
Verwandte Themen: https://security.stackexchange.com/questions/147125/network-administrator-knowing-all-user-passwords
Hey, ich möchte Ihr Unternehmen prüfen: Bitte senden Sie mir alle Ihre Administratorkennwörter.Bearbeiten Sie einfach Ihre Frage, um sie alle aufzulisten ....
Warte was?Sie haben noch nie eine NDA mit dieser Sicherheitsfirma unterzeichnet?Machen Sie jetzt einen Schritt zurück und lassen Sie die NDA unterschreiben, bevor Sie sich weiterentwickeln.Klingt für mich so, als wäre es eine gefälschte Firma, die sich als echte tarnt, um zu sehen, ob sie Informationen von Ihnen erhalten kann.Wenn dies ein wirklich legitimes Unternehmen ist, versucht der Prüfer zu prüfen, ob Sie dumm genug sind, diese Informationen bereitzustellen.Wenn Sie auch nur ein wenig davon bereitstellen, haben Sie die Prüfung nicht bestanden.Dies ist jedoch unglaublich unprofessionell und sollte niemals passieren.
Dies ist der erste Test.
Benachrichtigen Sie Ihr Management- und Sicherheitsteam.
Ich bin seit fünf Jahren Pentester.Wir berühren nichts, bis wir einen vereinbarten Umfang, Zeitrahmen, einen unterzeichneten Vertrag und eine NDA haben.Diese Formalitäten schützen ** beide Parteien ** und niemand sollte Daten übergeben oder Systeme berühren, bis sie ordnungsgemäß abgeschlossen sind.Jeder, der diese Art von Informationen anfordert, ohne dass gesetzliche Vereinbarungen getroffen wurden und der Zugang unbedingt erforderlich ist, ist (bestenfalls) eine massive technische und rechtliche Haftung für sich selbst, seine Organisation und Ihre.Halte dich verdammt noch mal von diesen Cowboys fern.
Unser Produkt wurde routinemäßig (jedes halbe Jahr) von einem seriösen Unternehmen pentestiert, und jedes halbe Jahr forderten sie Anmeldeinformationen für das eine oder andere an.Also senden wir ihnen jedes halbe Jahr einen Smiley oder einen Link zum Ende des Internets oder etwas Ähnliches.Wir haben immer bestanden :) Zumindest für uns war dies ein normaler Teil des Tests, mit dem Ziel zu sehen, ob unser Team Social Engineering erkennen konnte.Ihr Manager ist sich dessen möglicherweise bewusst, sagt es Ihnen jedoch aus offensichtlichen Gründen nicht, wie dies bei uns der Fall war.
** Falls Sie ihnen bereits Anmeldeinformationen gegeben haben, behandeln Sie diese als echte Sicherheitsverletzung **.Wenn sie keine echte Firma sind, sollten Sie dies tun.Wenn ja, hoffen sie, dass Sie dies tun.
Wenn Sie ihnen Passwörter geben, werden sie nicht mehr auf Penetration getestet. Sie verwenden nur noch Passwörter, die Sie ihnen gegeben haben.
Wir hatten Pentester von unserem Mutterunternehmensbesuch.Wir wurden aufgefordert, uneingeschränkt zusammenzuarbeiten.Sie wollten Zugriff auf die Systeme und Administratorzugriff.Fein.Dann schnappten sie sich die Passwortdateien und stellten sie als "Trophäen" zur Schau.Ihr Wort, nicht unser.Wir haben versagt, weil wir ihnen nicht die Unterstützung geben sollten, die wir ihnen geben sollten.
Nein, aber ein Wörterbuch-Crack für die verschlüsselten Passwörter ist für mich in Ordnung.
* Wir haben jetzt eine NDA.Der Vertrag besagt jedoch, dass wir sie nicht für irgendetwas haftbar machen können. * Wie könnte eine NDA eine echte NDA sein, wenn sie für nichts haftbar gemacht werden können?
@Walfrat Ja, das ist sehr besorgniserregend.OP, heißt das, dass ihr mit dieser Firma vorankommt?
@Zachary Iles: Was ist das Update Ihres Falls?
Sieben antworten:
Conor Mancone
2017-10-25 22:41:51 UTC
view on stackexchange narkive permalink

Ist das normal für einen Pentest?

Absolut nicht . Best-Case-Szenario: Sie führen Penetrationstests im Bereich "Social Engineering" durch und möchten herausfinden, ob Sie unter Druck gesetzt werden können, eine sehr gefährliche Aktion auszuführen. Im mittleren Fall wissen sie nicht, wie sie ihre Arbeit machen sollen. Im schlimmsten Fall geben sie nur vor, ein Prüfungsunternehmen zu sein, und die Erfüllung ihrer Anfrage führt zu einem teuren Verstoß.

Im Falle eines Code-Audits benötigt das Unternehmen offensichtlich Zugriff auf den Quellcode. Ich würde jedoch erwarten, dass ein Unternehmen, das solche Dienstleistungen anbietet, die Sensibilität eines solchen Bedarfs bereits versteht und über viele Formulare verfügt, die Sie unterschreiben und anbieten können, in einer streng kontrollierten Umgebung zu arbeiten. Eine seriöse Sicherheitsfirma wird sich nicht nur darum kümmern, Sie zu schützen (weil es ihre Aufgabe ist), sondern sich auch vor nicht vertrauenswürdigen Kunden zu schützen (Unser Quellcode ist direkt nach unserer Einstellung durchgesickert: Wir verklagen !!!!) . All dies, um zu sagen: Jedes seriöse Sicherheitsunternehmen, bei dem Sie nicht viele Verträge unterschreiben, bevor Sie zur Arbeit gehen, ist kein seriöses Sicherheitsunternehmen.

Ich kann mir keine Umstände vorstellen, unter denen der Zugriff an übergeben wird Jedes dieser Dinge wäre eine gute Idee.

RE bearbeiten: versteckte Verträge

Einige haben vorgeschlagen, dass das Unternehmen dem OP möglicherweise einfach nichts gesagt hat über relevante Verträge / Vereinbarungen / NDAs. Ich nehme an, dass dies möglich ist, aber ich möchte klarstellen, dass das Fehlen eines Vertrags nicht die einzige rote Fahne ist, die ich sehe.

Als jemand, der E-Commerce-Websites und Unternehmenssoftware erstellt hat, für die eine Integration mit vielen CC-Prozessoren erforderlich ist, sehe ich absolut keinen Vorteil darin, jemand anderem Zugriff auf Ihren CC-Prozessor zu gewähren. Zu diesem Zeitpunkt testen sie Ihre Systeme nicht mehr auf Penetration: Sie testen die Systeme anderer, die Sie gerade verwenden. Das Vergeben von Zugangsdaten auf diese Weise verstößt wahrscheinlich gegen die Nutzungsbedingungen, die Sie zu Beginn der Verwendung Ihres CC-Prozessors unterzeichnet haben (ganz zu schweigen von den anderen Systemen, auf die der Zugriff angefordert wird). Wenn Sie also nicht die Erlaubnis Ihres CC-Prozessors haben, Ihre Anmeldeinformationen an eine Sicherheitsüberprüfungsfirma weiterzugeben (Hinweis: Sie würden niemals eine Erlaubnis erhalten), ist der Zugriff eine große Haftung.

Viele andere hier haben großartige Arbeit geleistet, um die Unterschiede zwischen White-Box- und Black-Box-Tests zu artikulieren. Es ist sicher richtig, dass je mehr Zugriff Sie Sicherheitsprüfern gewähren, desto effektiver können sie ihre Arbeit erledigen. Ein verbesserter Zugang ist jedoch mit höheren Kosten verbunden: Sowohl weil sie mehr für eine gründlichere Überprüfung verlangen, als auch weil die Kosten in Bezug auf eine erhöhte Haftung und ein erhöhtes Vertrauen, das Sie diesem Unternehmen und seinen Mitarbeitern entgegenbringen müssen, steigen. Sie sprechen davon, ihnen die vollständige Kontrolle über alle Systeme Ihres Unternehmens zu geben. Ich kann mir keine Umstände vorstellen, unter denen ich dem zustimmen würde.

Stimme voll und ganz zu.Bestenfalls hoffe ich, dass es ein ungeschickter Weg ist, einen Punkt über Social Engineering zu beweisen.Aber selbst dann würde ich mit einer solchen Firma keine Geschäfte machen.Jedes seriöse Unternehmen hat einen Vertrag und eine NDA sowie verschiedene Zusicherungen, um Sie und sie zu schützen, bevor Sie ein solches Engagement beginnen.
Gute Antwort.OP kann auch gegenüber seinen anderen Dienstleistern * nicht * verpflichtet sein, sein Passwort an andere Parteien weiterzugeben.Abgesehen davon kann es * akzeptabel * sein, ein neues Benutzerkonto speziell für die Pen-Tester mit einem eigenen Passwort zu erstellen, das sie mit eingeschränkten Berechtigungen von Fall zu Fall verwalten würden.
@jesseM Eine verbleibende Möglichkeit besteht darin, dass Verträge und NDAs unterzeichnet werden und das OP nichts davon weiß.Wir hatten Situationen, in denen wir Pen-Tests durchführen würden, die ohne das Wissen oder mit verschiedenen Arten von begrenztem Wissen der Teilnehmer durchgeführt wurden.(Das heißt, nur der CEO, der CSO und der CIO würden davon erfahren. Es ist sehr schwierig, dies richtig zu machen, und es müssen sehr gute Eskalationsprozesse in der Organisation vorhanden sein, da Sie sonst viel Ärger riskieren, wenn die Leute nicht richtig reagierenund die Dinge hören auf zu funktionieren.)
@DRF Selbst im Kontext des OP, der keine Kenntnis von Verträgen hat, sind diese Anfragen unangemessen.Zugriff auf ihren CC-Prozessor?Ich sehe keinen Grund, warum ein Sicherheitsprüfer das brauchen würde.Es ist eine enorme Haftung für beide Parteien.Selbst wenn Sie versuchen zu überprüfen, ob sie Best Practices in der CC-Verarbeitung befolgen, benötigen Sie dazu keinen Zugriff auf ihren CC-Prozessor, und das Anfordern des Zugriffs ist ein * eindeutiger * Verstoß gegen Best Practices.Sie fordern zu viele hochsensible Gegenstände, als dass dies alles andere als schlecht wäre.
@ConorMancone Oh, sie sind sicherlich unvernünftig, könnten aber Teil eines "normalen" sozialen Pentests sein.Für mich scheint es ein schlechter Weg zu sein, es zu testen.Die meisten Leute werden bocken, wenn Sie so viel wollen.Der kluge Weg ist, nur ein paar Dinge zu wollen, die viel glaubwürdiger sind.
@DRF ein Social Engineering Penetrationstest ist sicherlich die gemeinnützigste Erklärung, aber es ist definitiv ein schlechter Weg, dies zu tun.Wie Sie sagen, macht es es offensichtlicher.Außerdem würde ich weniger kritische Dienste wählen: NDA oder nicht das Letzte, was ich möchte, ist, dass mir jemand die Anmeldeinformationen an seinen CC-Prozessor sendet.
@ConorMancone, ohne tatsächlich zu wissen, ob es einen Vertrag gibt und was ein solcher Vertrag über den Umfang des Tests spezifizieren könnte, können wir nicht sagen, ob die Anfrage gültig ist oder nicht.Vielleicht hat die Stelle, die die Sicherheitsfirma beauftragt hat, angegeben, dass sie versuchen soll, auf diese Informationen von Mitarbeitern zuzugreifen.Ich stimme DRF zu, dass dies wie ein Club-Ansatz klingt, aber wir wissen auch nicht, ob das OP die Anfragen genau darstellt.Vielleicht waren dies im Laufe der Zeit getrennte Anfragen, auf die das OP schließlich hinwies, dass er vielleicht nicht liefern sollte?Wir wissen es einfach nicht.
Zu Ihrem zweiten vom letzten Satz hinzufügen;Es ist ungewöhnlich, dass eine Person in einem großen Umsatzunternehmen gleichzeitig auf alle Schlüssel zum Königreich zugreifen kann, ohne dass andere höhere Unternehmen dies übersehen.Teilweise aus Sicherheitsgründen, aber vor allem, weil niemand wirklich alles auf einmal braucht.
Ich hatte eine Sicherheitsüberprüfung, bei der verschiedene Dienste überprüft wurden, ob sie sicher eingerichtet waren.Das einzige, was dabei herauskam, war eine falsch konfigurierte Entwickler-Google-Entwickleranwendung, die theoretisch gegen uns hätte verwendet werden können.Wie auch immer, das wurde von einer Person gemacht, die in unser Büro kam und ein Kollege von mir würde sich für ihn anmelden.Ich kann mir jedoch * vorstellen * (ohne zu sagen, dass es eine gute Sache ist), dass eine entfernte Firma dies tut, indem sie nach Passwörtern fragt.
@DavidMulder Das ist eigentlich ein sehr wertvoller Service: Zum Vergleich ist es amüsant, "ein weiteres Amazon Aws Leak" zu googeln, um zu sehen, wie alle Instanzen von Personen aufgrund schlecht konfigurierter Hosting-Konfigurationen kritische Informationen verlieren.Abgesehen davon denke ich nicht, dass die Übergabe von Passwörtern der Weg ist, um dieses Problem zu beheben.Wenn es darauf ankommt, ist es meiner Meinung nach besser, sie per Fernzugriff mit einem Bürocomputer verbinden zu lassen und alles zu beobachten, was sie tun.Es wäre sowieso eine wertvollere Lernerfahrung.
Ehrlich gesagt, wenn dies ein Versuch ist, die Gefahr von Social Engineering zu demonstrieren, ist es immer noch sehr fraglich, Pentests und Audits sind keine Benutzerschulungen.Eine informierte Partei nach Anmeldeinformationen zu fragen, ist kein Social Engineering.
Arminius
2017-10-25 22:58:41 UTC
view on stackexchange narkive permalink

Wie soll ich vorgehen?

Fahren Sie nicht mit ihnen fort. Sie verhalten sich unprofessionell. Pentests bergen Risiken für beide Parteien, und es scheint, dass sie nichts unternommen haben, um sie anzugehen.

Erstens sollten Sie absolut nichts ohne einen schriftlichen Vertrag (einschließlich einer NDA) übergeben. Es ist überraschend, dass sie routinemäßig solche Geschäfte machen. Woher kennen sie den genauen Umfang? Unter welchen Bedingungen werden sie bezahlt? Werden sie einfach sagen, dass sie irgendwann "fertig" sind oder gibt es einen Zeitplan? Erhalten Sie einen ordnungsgemäßen Bericht? Wer bezahlt, wenn sie Schaden anrichten? Sind sie versichert, falls sie Ihre Zugangsdaten an Dritte verlieren? Woher wissen Sie, ob ein zukünftiger Verstoß Teil des Tests oder ein tatsächlicher Angriff einer anderen Person ist? Selbst wenn Sie ihnen vertrauen, sollten diese Fragen unbedingt beantwortet werden, bevor Sie einen Pentest starten.

Und nicht nur Sie, sie setzen sich selbst einem Risiko aus. Wenn Sie den Umfang nie geklärt haben, greifen sie möglicherweise einige Ihrer Systeme ohne Erlaubnis an, mit möglichen rechtlichen Auswirkungen.

Ich nahm an, dass es sich hauptsächlich um eine Black Box handelt.

Sowohl Black- als auch White-Box-Tests sind üblich und jeder Ansatz hat seine eigenen Vorteile. Aber wenn die Art des Testens nie aufgetaucht ist, scheint es nie eine Diskussion darüber gegeben zu haben, was durch die Durchführung eines Pentests überhaupt erreicht werden sollte. Ein professioneller Auftragnehmer hätte Sie bei der Ermittlung der richtigen Bedingungen und Methoden unterstützt.

(Eine gute erste Frage an einen potenziellen Auftragnehmer besteht darin, ihn um einen Pentest-Musterbericht zu bitten. Er gibt Ihnen eine erste Vorstellung davon, wie Sie funktionieren und welche Ergebnisse Sie erwarten können.)

countrhack
2017-10-26 02:11:21 UTC
view on stackexchange narkive permalink

Vor jedem Penetrationstest sollten Dokumente zum Umfang und zu den Einsatzregeln vorhanden sein, die von beiden Parteien unterzeichnet sind. In diesen Dokumenten sollte detailliert beschrieben werden, was getestet wird und welche Methoden von Ihrem Unternehmen und dem Auftragnehmer vereinbart wurden. Wenn Sie diese Diskussion mit Ihrem Auftragnehmer nicht durchlaufen haben, brechen Sie das Engagement ab und suchen Sie andere Fachleute.

Als Penetrationstester habe ich Unternehmen gebeten, Konten oder Laptops bereitzustellen, die sie einem normalen Benutzer zur Verfügung stellen würden. Dies ermöglicht das Testen aus der Perspektive eines böswilligen Mitarbeiters. Dies alles wird jedoch vor dem Test in den Scoping and Rules of Engagement vereinbart.

Nur meine 2 Cent.

rockower
2017-10-26 02:42:29 UTC
view on stackexchange narkive permalink

NIEMALS !!

Wir machen einen vollen Pentest bei meiner Arbeit. Die Pentester haben ausdrücklich erklärt, dass sie für nichts das Login / Passwort benötigen. Wir sagten, dass es großartig war, da wir ihnen nie zuvor etwas zur Verfügung stellen würden. Es gibt drei Haupttypen von Pentests: White Box, Grey Box, Black Box.

White Box ist, dass Sie ihnen alle Informationen geben und sie Probleme mit Ihrer Software, Ihrem Netzwerk usw. finden.

Gray Box ist, dass Sie ihnen einige Details darüber geben, was sie pentestieren sollen. Wir haben das verwendet, da sie keine Ahnung hatten, welchen externen drahtlosen ISP wir verwendeten. Wir haben ihnen gesagt, dass sie zuerst einen externen Test durchführen sollen, also haben wir ihnen ein paar IPs gegeben, und sie sind leicht eingebrochen.

Black Box ist, dass Sie ihnen nichts zur Verfügung stellen und sie alles selbst finden müssen. Danach können sie ihren Pentest auf den externen IPs durchführen. Bei internen Tests ist dies anders. Sie befinden sich in Ihrem Netzwerk und führen nmap und andere intensive Scans für jedes Ziel aus, auf das sie stoßen. Dies ist das Schwierigste, aber meiner Meinung nach das Beste.

"Wir haben ihnen gesagt, dass sie zuerst einen externen Test durchführen sollen, also haben wir ihnen ein paar IPs gegeben und sie sind leicht eingebrochen."- Wo arbeitest du?
@Daniel Du meinst "Was ist deine IP", nicht wahr?:) :)
@BenjiWiebe Ich sehe, was Sie dort getan haben, aber ich würde es nicht wagen, solche schattigen Wege zu gehen.Ich bat um den Firmennamen, um sich von ihnen fernzuhalten.Ich habe keine Lust, in jemanden einzudringen, da dies gegen meine Natur verstößt.
Das Einbrechen von @Daniel ist nur der erste Schritt.Das Ausnutzen der gefundenen Löcher ist ein weiterer Schritt.Versuchen Sie, Ihr eigenes Unternehmen zu phishing.Implementieren Sie Richtlinien und setzen Sie sie durch.Ich arbeite für die Landesregierung.
@Daniel "Ich habe keine Lust, in jemanden einzudringen, da dies gegen meine Natur verstößt."Ich sehe, was du dort getan hast
YLearn
2017-10-26 04:00:17 UTC
view on stackexchange narkive permalink

Mein Unternehmen führt derzeit eine Sicherheitsüberprüfung durch, die als Pentest eingestuft ist.

und

Hinweis, wir haben noch nie eine unterschrieben einzelne NDA oder ein anderer Vertrag mit ihnen noch, und ich bin sehr zurückhaltend, diese Informationen ihnen aus diesem Grund zur Verfügung zu stellen.

Die Verwendung von "beschäftigt" in diesem Zusammenhang impliziert eine Definition von " einen Vertrag abschließen, um etwas zu tun. " Daher frage ich mich, ob die widersprüchlichen Aussagen zufällig sind oder ob Sie nicht das Unternehmen in Ihrem Unternehmen sind, das das Sicherheitsunternehmen beauftragt hat.

Wenn letzteres der Fall ist, kann es durchaus Verträge / Vereinbarungen geben, die Sie getroffen haben nicht bewusst gemacht. Dies wäre nicht ungewöhnlich, da viele der Penetrationstests, bei denen ich am empfangenden Ende war, die spezifischen Details des Tests vor den Mitarbeitern verbergen, damit diese keine "abnormalen" Maßnahmen zum Schutz vor den Tests ergreifen.

Wenn dies der Fall ist, machen Sie mit der Anfrage das, was Sie normalerweise mit einer solchen Anfrage machen würden. Sagen Sie ihnen "Nein", und wenn sie zurückschieben ("aber wir müssen den Penetrationstest durchführen"), führen Sie die Anfrage (schriftlich) an Ihren Vorgesetzten weiter und geben Sie Ihre Bedenken an. Wenn Ihr Vorgesetzter Sie (schriftlich) auffordert, diese Informationen freizugeben, sollten Sie sich im Klaren sein, da er den Test möglicherweise besser versteht als Sie. Wenn Ihre Vorgesetzten unklar sind, führen Sie die Befehlskette weiter nach oben und / oder fordern Sie sie auf, sich von der Stelle, die die Sicherheitsfirma beauftragt hat, beraten zu lassen.

Wenn Sie jedoch das Unternehmen sind, das die Sicherheitsfirma beauftragt hat, hätte ich (wie die anderen Antworten hier) ernsthafte Bedenken. Wenn Sie der Meinung sind, dass es sich dennoch lohnt, sie weiterzuverfolgen (oder befürchten, dass sie eine Art Vertragsverletzungsklage erheben), würde ich Ihnen empfehlen, ein Mittel zur Bewertung zu verwenden, ob es sich um einen Social-Engineering-Test handelt. Sie können beispielsweise eine Liste gefälschter Administratorkonten und Kennwörter erstellen. Geben Sie ihnen dies, sagen Sie, dass Sie noch am Rest arbeiten, und Sie werden es mitschicken, sobald es fertig ist. Sehen Sie dann, wie sie reagieren.

Wenn es sich nur um einen Social-Engineering-Test handelt, müssen sie lediglich den Nachweis erbringen, dass diese Art von Informationen durchgesickert sind (was Sie später als gefälschte Konten anzeigen können). Ein verantwortungsbewusstes Sicherheitsunternehmen sollte keine weiteren angeforderten Informationen mehr benötigen und Sie daran hindern, diese bereitzustellen. ("Wenn Sie sich ansehen, was Sie bereitgestellt haben, sollte dies meiner Meinung nach ausreichen, um fortzufahren. Machen Sie sich keine Sorgen um den Rest, es sei denn, es dreht sich um." raus brauchen wir es wirklich "). Wenn sie keine weiteren Informationen stoppen, deaktivieren Sie sie sofort.

Weitere Informationen können nur den Verdacht auf Penetrationen erwecken, die sie von diesem Punkt an ausführen (dh es ist einfach, in ein System einzudringen, wenn Sie Administratorzugriff haben). und / oder sie potenziellen Rechtsstreitigkeiten in Bezug auf geistiges Eigentum auszusetzen (z. B. durchgesickerten Quellcode usw.).

Gefälschte Konten und Passwörter sind ein ausgezeichneter Vorschlag.Sie wären sogar noch effektiver, wenn sie Konten wären, die sie in einen Honeypot führen, sodass Sie sie auf Missbrauch überwachen könnten.
Greenstone Walker
2017-11-02 07:24:55 UTC
view on stackexchange narkive permalink

Kommen Sie aus einem etwas anderen Blickwinkel auf die Frage:

Sind Sie der CEO oder CTO?

Nein? Geben Sie den Prüfern dann keine Passwörter. Immer.

Stellen Sie ein Informationspaket zusammen und leiten Sie es an Ihren IT-Manager, CTO, CEO oder was auch immer weiter. Um es ganz klar auszudrücken, es ist ihre Aufgabe, diese Art von Entscheidungen zu treffen (und die Konsequenzen zu ziehen), nicht Ihre.

Wenn Ihr Chef sagt: "Nein, Sie senden es." Antworten Sie dann: "Als Mitarbeiter ist es mir unangenehm, solche gefährlichen Informationen an Dritte weiterzugeben."

Wenn Sie tatsächlich CTO sind, lassen Sie sich von den obigen Antworten beraten.

Sie können auch schriftlich hinzufügen, dass Ihr * professioneller Rat * nicht darin besteht, die Anmeldeinformationen freizugeben, sondern dass Sie respektieren, dass dies die Entscheidung des CEO ist.
Tom
2017-10-26 17:51:55 UTC
view on stackexchange narkive permalink

Überprüfen Sie Ihre Annahmen.

Wenn dies ein Black-Box-Test sein soll, sollten sie keinerlei Passwörter erhalten oder benötigen.

Wenn dies eine Konfiguration sein soll Bei Überprüfungen oder White-Box-Tests sollten einige Passwörter übergeben werden. Das richtige Verfahren besteht darin, sie vor dem Test in eine eindeutige (zufällige Zeichenfolge) zu ändern und sie nach dem Test erneut zu ändern.

Wenden Sie sich an Ihr Management und fragen Sie explizit, ob die richtigen NDAs und Verträge unterzeichnet wurden.

Ist das normal für einen Pentest?

Das von Ihnen beschriebene Szenario ist ungewöhnlich, aber nicht ganz unplausibel. Es hängt alles davon ab, was genau für den Testumfang und die Aktivitäten vereinbart wurde.

Ich nahm an, dass es sich meistens um eine Black Box handelt. Wie soll ich vorgehen?

Wenden Sie sich an den Manager, der für die Unterzeichnung dieses Pentesting-Teams verantwortlich ist. Ihr CISO oder CSO oder IT-Manager oder wer auch immer. Bringen Sie Ihre Bedenken zum Ausdruck und fragen Sie, ob dieser Ansatz vereinbart wurde.

Geben von Passwörtern / Quellcode

Persönlich würde ich niemandem Passwörter oder Quellcode ohne einen richtigen geben NDA unterzeichnet. Ich würde ihnen auch niemals die tatsächlichen Passwörter geben. In allen Pentests, an denen ich beteiligt war, wurden auf beiden Seiten sowohl als Kunde als auch als Projektmanager (ich bin kein Pentester, aber ich habe Pentester verwaltet) immer Benutzerkonten für den Pentest erstellt und Kennwörter geändert. Wir empfehlen unseren Kunden sogar, sie nach Abschluss des Tests zu ändern (einige tun dies nicht, das ist immer ein trauriger Befund für den nächsten Bericht).

Kennwortstärke

Was einige Antworten über "Bewertung der Passwortstärke" geschrieben haben - das ist eine Menge Quatsch. Ja, es gibt eine "Best Practice" für gute Passwörter, die ein Typ vor einigen Jahrzehnten aus dem Nichts gezogen hat und die er heute schrecklich bedauert. Die gesamte Mathematik zu diesem Thema ist voller Lücken und nicht überprüfter Annahmen, und viele Kennwortrichtlinien reduzieren den Suchraum tatsächlich, anstatt ihn zu vergrößern. Der einzige echte Test für die Kennwortstärke besteht aus zwei Teilen: Erstens: Holen Sie sich die besten 10.000 Kennwörter aus einer der rund 20 Listen, die im Internet verbreitet sind, und verwenden Sie diese als schwarze Liste. Zweitens: Führen Sie dieselbe Cracking-Software aus, die Bösewichte (die meisten davon sind Freie Software) für Ihre Passwort-Hashes verwenden. Wenn Ihre Instanz von John es knackt, wird es auch ihre tun.

Das meiste davon wird durch die anderen Antworten abgedeckt. Ihr Abschnitt zur Kennwortstärke basiert auf einer fehlerhaften Annahme.Wenn dasselbe Administratorkennwort an mehreren Stellen verwendet wird, ist dies beispielsweise kein sicheres Kennwort - und ja, automatisierte Kennwortprüfungen machen genau das, was Sie beschrieben haben. Daher bin ich mir nicht sicher, wohin Sie mit diesem Gegenargument gehen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...