web-dev-qa-db-fra.com

Que faire si vous êtes pris dans un pentest physique?

J'ai vu beaucoup de gens parler de la façon de pentester et de NE PAS se faire prendre lors des engagements, mais j'ai du mal à trouver "Comment se comporter quand il est pris lors d'un engagement de l'équipe rouge".

Les équipes rouges doivent simuler des adversaires attaquant des systèmes. De nombreuses actions ne peuvent pas être effectuées (ou du moins très difficiles à réaliser) avec seulement quelques ordinateurs et les équipes rouges doivent souvent se rendre sur place et s'introduire (légalement). Ce que j'ai vu jusqu'à présent, c'est que les gens ne réussissent pas à se faire prendre. Cependant, je n'ai vu personne parler de ce qu'il faut faire une fois attrapé. Cela peut être simplement un soupçon ou même être poursuivi par la sécurité (éventuellement armé).

Dans les cas où un Red Teamer est pris lors d'un engagement, que doit-il faire?

  • Dites "je suis un testeur de sécurité. Vous m'avez attrapé alors je vais juste partir."
  • Fuyez comme un criminel avec ses données volées (ce qui semble amusant mais dangereux) pour ressembler davantage à un véritable criminel
  • Contactez l'employeur pour le signaler et obtenez un laissez-passer "continuez"
  • Venez tranquillement pour un interrogatoire possible (je pense que ce serait le plus sûr)

Mise à jour: j'ai fait une autre question ici qui couvre les tierces parties non discutées dans cette question.

penetration-testphysical
129
John Zhau

Ayez toujours votre slip avec vous!

C'est la règle d'or du Red Teaming! Si vous n'avez pas votre permission d'attaquer avec vous, c'est comme conduire sans permis de conduire. Cela dit, si vous êtes pris lors d'un engagement, je recommande ce qui suit:

  1. Présentez une autorisation forgée d'attaquer. De cette façon, vous pouvez voir si les criminels pourraient éventuellement tromper un garde de sécurité pour les laisser faire leur truc avec une fausse autorisation d'attaquer.
  2. Présentez le réel Autorisation d'attaquer. Si un garde n'a pas acheté votre faux slip, alors il est temps de remettre le vrai caleçon. Si le gardien vous croit, il est temps de ramasser et de quitter le périmètre. Un véritable attaquant aurait été arrêté à ce stade. Si le garde ne vous a pas cru, demandez-lui de bien vouloir parler à son superviseur. S'ils insistent pour ne pas vous croire et pour appeler la police, tant pis. Vous n'êtes pas un criminel, alors ne vous en faites pas.

  3. Suivez les ordres de la police. Ils vous emmèneront avec eux au poste, où vous pourrez expliquer à la police que vous faites partie d'un engagement de l'équipe rouge, et que vous avez la permission d'entrer par effraction dans le compagnie. Ils vérifieront cela en appelant celui qui est répertorié comme la personne qui a signé votre autorisation d'attaquer. Dans le cas heureux, ils prendront le téléphone, expliqueront que vous êtes vraiment embauché pour le faire, et vous serez libre de partir.

    Dans le cas pas si heureux, ils ne décrocheront pas car il est 4 heures du matin et leur téléphone n'a pas de batterie. Si cela se produit, vous passerez probablement la nuit au poste de police. Des choses pires se sont produites. Appelez votre employeur le matin et il communiquera avec vous au contact de l'entreprise du client.

Et les autres options?

Dire "je suis un chercheur en sécurité. Vous m'avez attrapé alors je vais juste partir"

ne sera pas très utile. Aux yeux d'un agent de sécurité, vous êtes un criminel, pris au milieu d'un crime. Vous n'aurez pas le choix de "simplement partir".

Fuyez comme un criminel.

Une très mauvaise idée. Probablement le pire que vous puissiez faire. Si le gardien appelle la police (ils le feront probablement), les coûts pourraient augmenter considérablement et cela ne ferait pas plaisir au client de savoir qu'il a maintenant de payer également à la police une chasse à l'homme inutile. Cependant, vous devez absolument inclure dans votre rapport si s'éloigner du périmètre après s'être fait prendre aurait été un effort insignifiant ou non.

Contactez l'employeur pour obtenir un "laissez-passer".

Cela manquerait l'intérêt d'un engagement avec l'équipe rouge. Une fois que vous avez un passe "Continuez", vous ne simulez pas comment un véritable attaquant agirait. Vous passeriez simplement par les affaires de l'entreprise avec leur permission.

188
MechMK1

Il y a un revers: que faire si vous découvrez un pentester physique. Lorsque je travaillais dans une banque, j'ai remarqué que l'emblématique bannière de bienvenue de metasploit cli clignote une seconde sur un bureau au milieu d'une ferme de cubes.

Les pentesters physiques font partie de la vie dans une banque et les règles d'engagement sont très claires au préalable. Il existe des règles et des procédures pour les deux parties si quelqu'un remarque un pentester. Cela protège tout le monde.

Parce que imaginez la situation: si metasploit est en cours d'exécution, il suffirait que l'attaquant exécute un script prédéfini et qu'il pourrait être "game over" pour la banque. Si vous voyez la bannière, il est probablement déjà trop tard. Cela signifie que les doigts de cette personne doivent être hors de ce clavier et le cordon réseau tiré/wifi désactivé dès que possible. Comme, immédiatement. Cela signifie une interaction physique brutale. N'attendant pas l'arrivée de la sécurité. Et c'est un problème de sécurité.

Il s'avère que dans ce cas, le pentester a gâché en s'exposant ainsi et l'engagement aurait été prématurément terminé, mais en suivant les protocoles, l'engagement s'est poursuivi dans le cadre défini et tout le monde était en sécurité. Le test n'était pas de pouvoir entrer, mais de simuler un initié malveillant.

50
schroeder