Comment traiter avec des tiers dans des pentests physiques?
De ma question précédente , j'ai vu qu'une fiche "Permission d'attaquer" est cruciale dans TOUT test de pénétration. Cependant, cette question et ses réponses et commentaires n'ont discuté que des interactions entre les Pentesters et la partie du client (leur personnel).
Comment devons-nous traiter avec des tiers tels que:
Cibles "décontractées"
- Voisins
- Personnel tiers (véritable entretien des ascenseurs, véritable personnel Cisco, etc.)
- Les personnes hors personnel (clients de l'entreprise, invités, patients dans un hôpital, etc.)
Personnes dangereuses
- Application des lois locales (la police)
- Un vrai criminel possible (avoir à la fois une équipe rouge et de vrais criminels entrant en même temps semble difficile)
J'ai vu (lire des articles) certains dire que nous devrions toujours dire la vérité à la police plutôt que d'essayer de les concevoir. J'ai également entendu des gens parler d'eux-mêmes de tromper la police locale comme la sécurité du personnel. Certains disent également que nous devons présenter et confirmer notre autorisation d'attaquer auprès des forces de l'ordre locales au préalable, comme nous le ferions avec l'employeur.
Cela dépend beaucoup de la situation et de votre contrat.
Habituellement, les entreprises réputées qui effectuent des pentests physiques ont des directives détaillées pour leurs pentesters dans de nombreuses situations. Ces instructions doivent être suivies. Je vais donner un aperçu approximatif des manières possibles d'interagir avec ces tiers:
La police locale
La police locale doit être traitée comme la police est traitée ailleurs. Une autorisation d'attaquer signifie que vous êtes légalement autorisé à effectuer un pentest physique, et non que vous avez le pouvoir d'ignorer la police. Si un officier de police vous demande de vous identifier ou similaire, vous devez faire de même.
En fait, le fait que vous meniez un pentest est complètement hors de propos pour toute interaction avec la police. Interagissez avec la police conformément aux lois locales.
Voisins
Les voisins sont des gens qui n'ont rien à voir avec le pentest que vous effectuez. On ne peut vous accorder aucune autorité sur eux, tout comme la société qui vous a engagé pour effectuer le pentest n'a aucune autorité sur eux.
Cela ne signifie pas que vous ne pouvez pas entamer une conversation amicale avec eux s'il vous arrive de les voir faire des travaux de jardinage de l'autre côté de la rue et de voir quel genre d'informations vous en tirez. Mais pour les besoins de votre mission, ils ne sont pas différents des gens ordinaires que vous rencontrez dans la rue. Encore une fois, votre implication dans ce pentest ne change rien.
Personnel tiers
Cela devrait être couvert soit dans une politique générale de votre employeur, soit spécifié dans le contrat de la mission. En général, ils sont susceptibles d'être traités comme tout employé "régulier" du client.
Par exemple, si vous pouvez marcher à l'intérieur du périmètre avec le gars qui a été engagé pour réparer l'imprimante, tant mieux.
Personnes non employées
Faites preuve de prudence! Tenter de séduire des clients, des invités, des patients, etc ... peut très rapidement devenir un sujet très difficile pour vous. Cela devrait en fait être discuté avec le client au préalable et être explicitement écrit.
Par exemple, interagir avec des patients dans un hôpital peut leur faire manquer de respect et à leurs familles, et vous voulez éviter cela.
Personnel d'urgence
En cas de tremblement de terre, un penteste serait le moindre de mes soucis. Si le personnel d'urgence se présente sur place, aidez-le du mieux possible. Vous ne connaissez pas la situation et la vie de quelqu'un peut être en danger. Un pentest peut toujours être refait demain.
De vrais criminels
Contactez immédiatement la sécurité ou les forces de l'ordre. Ne jouez pas au héros, faites votre travail.