web-dev-qa-db-ja.com

ペネトレーションテスト/レッドチームエンゲージメントで偽造ドキュメントを提示する必要がありますか?

私の以前の質問は this 文書の偽造の主題に言及した議論につながります。

多くの人が(ビデオで)IDや従業員のバッジを偽造してそのようなエンゲージメントに使用しているのを見てきたので、テストとしては問題ないようです。ただし、「攻撃の許可」伝票などのより重要で深刻な文書の提示を求められた場合(キャッチされた場合)、または警察官から求められた場合いくつかのIDを提示します。まず、forged "Permission to Attack"伝票またはIDを表示し、キャッチされた場合は実際のドキュメントのみを表示して、テストする必要がありますか?

37
John Zhau

エンゲージメントの範囲によって異なります。

顧客が特定の1つのタスク(ロックのバイパス、ソーシャルエンジニアリングなど)に集中することを望んでいる場合、それはあなたが実行することを許可されているすべてであり、法的に許可されているすべてです。

顧客が「合法なもの」を使用することを望んでいる場合、実際の攻撃者を最もよくシミュレートするために、攻撃に対する偽造された許可を実際に提示することができ、場合によっては、エンゲージメント中に放置する必要があるという説明が追加されていてもかまいません。

どうしてそうするか?セキュリティ担当者が実際に攻撃の許可が有効かどうかを確認するかどうかを確認するため。さもなければ、攻撃者は偽造された攻撃許可を提示し、これを使用して会社への参入を可能にする可能性がありますか?

法執行についてはどうですか?

なし偽造文書を法執行機関に表示するか、あなたが誰であるか、何をしているのかについて彼らに嘘をつきます。あなたは法執行機関ではなく会社をテストしています。

または、簡単に言えば、警察に話しかけると、もはやペンテスターではありません。

110
MechMK1

あなたの関与が警察との関係でない限り、それらは範囲外であり、あなたはそれらをテストすることは許可されていませんです。誰かが警察に電話した場合、あなたはすでに実際に失っています。あなたは彼らがそれをする直前に彼らを止めるべきです(この種のことをする私の友人はイギリスで働いています、そこでは緊急番号は999であり、彼らの原則は誰かが2番目の「9」をダイヤルしたときに彼らはあきらめるということです)。

具体的には、あなたには警察を攻撃する権限がありません。あなたのスリップは、警察に嘘をついたり、偽造された文書を警察に提示したりすることをカバーしません。

行動するとき範囲内あなたの攻撃許可の場合、偽造された文書は通常は問題ありませんが、署名された文書の1つ、許可自体、または申し出または他に適切なもの。誰もがファンではない場合に備えて、「しかし、そのような方法を使用しても問題ないことに同意しました」と書かれたものを作成する必要があります。

最近、ペンテスターが婚約の範囲を超えたためにトラブルに遭った事例がいくつかあります。しないでください。常に合意された内容の範囲内にとどまり、特定の方法が適切かどうかを自問する場合は、採用する可能性のある方法としてどこかで明示的に述べる必要があることを示す非常に良い兆候です。つまり、それが明確でない場合は、おそらく顧客にとっても明確ではありません。

35
Tom