Che cos'è un pen tester?

8

Ho chiesto a due tester di penna cosa fanno esattamente.

Uno di loro mi ha detto che tutto ciò che fa è cercare di trovare gli exploit nel software per poter accedere ai server interni e niente altro.

L'altro ha detto che sta cercando di trovare un buco nelle politiche / ingegnere sociale dell'azienda per ottenere l'accesso ai computer interni.

Quindi si tratta di cercare di ottenere l'accesso tramite il software aziendale e installare software dannoso da soli o invitando le persone in azienda a installare il software dannoso per te.

Non sapevo dell'esistenza dei pen-tester fino a quando questo sito non è stato realizzato, ma ora che lo faccio ero interessato al campo, tuttavia non posso sapere se voglio diventare un pen-tester fino a quando non so esattamente cosa sia è che lo fanno. Per quanto ho capito è che è compito del tester di penna accedere ai computer dell'azienda. Ma coinvolge la lettura di codici byte e tali da cercare di entrare o implica lo sfruttamento di persone in compagnia per entrare?

Inoltre, dove potrei imparare alcuni principi per esaminare la carriera dei test di penna?

Ho visto questa risposta, ma non era abbastanza dettagliato per i miei gusti.

    
posta Quillion 25.11.2013 - 16:39
fonte

3 risposte

11

Il compito di un tester di penetrazione è dimostrare e documentare un difetto nella sicurezza.

In una situazione normale, un pen tester eseguirà una ricognizione per trovare alcune vulnerabilità, sfruttare tali vulnerabilità per ottenere l'accesso, quindi estrarre una piccola porzione di dati di valore per dimostrare che il sistema non è sicuro.

Il dato è spesso una parte del campo di vendita per l'azienda che cerca di risolvere i suoi problemi. Una cosa è vedere una vulnerabilità e chiedere al capo di $ 10.000 per aggiornare i firewall. È una cosa diversa da dire al capo "guarda questi risultati, il tester è stato in grado di ottenere i nostri numeri di carta di credito, che è una causa da un milione di dollari in attesa di accadere! Per favore dammi $ 10.000 per aggiornare i firewall".

Nota che questo non dice quale vulnerabilità il tester sfrutterà, e il tester potrebbe essere libero di provare qualsiasi cosa, da un attacco di ingegneria sociale a uno sniffer WiFi a un'effrazione fisica.

Tuttavia, i tester di penna generalmente devono operare entro limiti o limiti. Spesso questo è su richiesta dei clienti: "Dimostra che puoi o non puoi entrare nella nostra rete, ma non vogliamo che tu invii email di phishing ai nostri dipendenti". E la compagnia di sicurezza potrebbe avere una politica di non installare mai determinati tipi di malware. (C'è poco motivo per un pen-tester di installare un client botnet o nascondere le sue tracce dietro un rootkit, ad esempio, a meno che non dimostri la necessità di eseguire la scansione di botnet e rootkit.)

Alcuni client pongono molti limiti ai test, come "basta testare la sicurezza del mio server delle applicazioni". Questi clienti potrebbero avere l'impressione che un hacker verrà ostacolato dai firewall magici che hanno acquistato e che proteggeranno il server delle app da qualsiasi forma immaginabile di attacco esterno. Oppure potrebbe essere che abbiano un team diverso focalizzato sulle difese dei firewall e un terzo team che lavori su campagne di sensibilizzazione sull'ingegneria sociale. Il cliente può anche chiedere che il tester non esamini i dati importanti: la conoscenza dei fori stessi è sufficiente per loro.

In ogni caso, il tester di penne deve rispettare attentamente i limiti indicati, anche quando il tester può identificare una via più efficace di sfruttamento. Solitamente il tester penne viene assegnato con riluttanza a una posizione di fiducia, perché vengono spesso considerati "criminali hacker". Documentando attentamente ed esponendo ogni difetto che hanno sfruttato, guadagnano fiducia attraverso la professionalità. Se un tester rileva un difetto che non è autorizzato a esplorare, deve indicarlo, ma non esplorarlo a meno che non ottenga il permesso.

Si noti inoltre che l'obiettivo del pen tester non è quello di "installare software dannoso". L'obiettivo è dimostrare l'adeguatezza delle informazioni di protezione della sicurezza di valore (carte di credito, segreti commerciali, piani di marketing, amministrazione del server, ecc.) Il malware è solo una tecnica utilizzata dagli hacker.

Per cominciare, ti consiglio di leggere, esercitarti e imparare ciò che puoi a casa e in rete. Consulta i libri e l'addestramento Certified Ethical Hacker disponibili. Prova a partecipare a conferenze ed eventi sulla sicurezza locali, regionali o nazionali. Potresti avere gruppi locali di "cappello bianco" come OWASP che hanno riunioni alle quali puoi partecipare e persone che puoi incontrare. Potresti anche avere un capitolo DEFCON più "a cappello grigio" nelle vicinanze, di nuovo, queste sarebbero le persone da cui potresti imparare. Queste sono tutte le persone che potrebbero essere in grado di aiutarti a entrare nel business, se vedono un'attitudine o un'abilità in te.

    
risposta data 25.11.2013 - 17:34
fonte
4

Come è stato detto, un pen tester è solo qualcuno che cerca di penetrare le difese di sicurezza di un tipo o dell'altro. Le persone sono specializzate in ogni genere di roba, ed è la specializzazione che porta alla tua confusione.

Vale la pena notare che molto spesso un cliente imporrà dei limiti allo scopo della pratica di un pen-tester. Possono assumere qualcuno per testare la loro rete, la loro sicurezza fisica, o anche solo la reazione del personale della reception a personaggi sospetti; così spesso la differenza tra due lavori è ciò che il cliente vuole fare.

È un campo potenzialmente vasto, che dare una risposta più specifica non è realmente possibile, le persone eseguono test con penna a tutti i diversi tipi di sistemi di sicurezza, da firewall e reti, alle misure di sicurezza fisica delle strutture militari.

    
risposta data 25.11.2013 - 17:35
fonte
2

È un campo ampio. Il nome lo descrive esattamente però - per verificare la possibilità di penetrazione dove nessuno dovrebbe esistere.

Quindi, per fare il primo esempio, se qualcuno viene assunto per eseguire un "pen-test" contro un file server, potrebbe effettivamente passare tutto il suo tempo a controllare se ci sono degli exploit SAMBA che possono essere utilizzati.

Per fare il tuo secondo esempio, un'azienda potrebbe desiderare una panoramica delle aree vulnerabili nella consapevolezza dello staff, nella sicurezza interna e nelle politiche / procedure. Quindi il tester della penna proverebbe una serie di tecniche comuni: e-mail di phishing o spear phishing, unità USB con malware lasciati nei parcheggi, tailgating negli edifici, chiamando l'addetto alla reception fingendo di essere il personale IT ...

Quindi il test delle penne coinvolge entrambi gli aspetti che hai chiesto: il lato molto tecnico, il lato umano e tutto il resto.

Suggerirei di iniziare, dovresti provare a ottenere una posizione di primo livello nella sicurezza IT e non smettere mai di imparare.

    
risposta data 25.11.2013 - 16:55
fonte

Leggi altre domande sui tag