Backprack Footprints

4

Sono stato assunto per la valutazione della penetrazione (scansione, test e così via) (sono nuovo nel settore e ho imparato attraverso la formazione di Offsec).

Durante gli allenamenti, ho fatto la maggior parte del mio pentest con vmware backtrack, ho installato gli strumenti necessari, risolto eventuali problemi con i driver wifi, ho un bel tema e così via.

Quali sono le mie opzioni sull'utilizzo di un backtrack aggiornato, con gli strumenti personalizzati di cui ho bisogno e le patch senza lasciare impronte? Se uso vmware, che tipo di impronta potrei lasciare indietro?

Mi vergognerei che i miei colleghi vedessero i log e vedessero una valutazione pessima che lasciava impronte e amp; registri.

    
posta Rick Rhodes 29.02.2012 - 00:52
fonte

2 risposte

4

A seconda dell'impegno, lasciare impronte e tracce di log potrebbe essere importante. Se gli amministratori stanno rivedendo i loro registri, potrebbero aver bisogno di sapere che un'anomalia proviene da una fonte non dannosa o essere in grado di determinare successivamente che un evento è stato causato dalle tue azioni. Ma dipende dall'impegno.

Uno dei passaggi di un pentest è la Pulizia , che comporta la rimozione delle tue tracce. Se il tuo coinvolgimento implica questo, allora non importa quali orme vengono lasciate indietro, le spazzerai via.

Quindi cosa succede se gli altri possono determinare che hai eseguito un pentest? Può essere magistrale non lasciare traccia, ma se stai imparando e sei nuovo sul campo, lascerai tracce. Il fidanzamento richiede un completo stealth? Hai abbastanza tempo per essere completamente invisibile? Il cliente si preoccupa di non lasciare traccia o questa preoccupazione è basata sul tuo orgoglio? Se è una cosa d'orgoglio, è ammirevole che tu voglia aumentare il tuo livello di abilità, ma sembra che tu abbia bisogno di costruire una base più solida sul campo prima di preoccuparti troppo dei colpi magistrali.

Per la tua domanda specifica su VMWare, il tuo indirizzo MAC verrà da un MAC virtuale che indicherà che proviene da VMWare e puoi testarlo usando Wireshark. Non sono a conoscenza di altre tracce lasciate dalla VM. Il MAC apparirà nei registri dei dispositivi di rete direttamente collegati al tuo computer.

Altre impronte sono lasciate da strumenti di sicurezza web (come script nmap di nmap ) che di solito forniscono un'impostazione useragent personalizzata che può essere modificata.

Quindi, la mia risposta si riduce a:

  • è importante non lasciare tracce?
  • cancellerai comunque i log?
  • importa che i tuoi coetanei sappiano cosa stavi facendo?
risposta data 29.02.2012 - 17:49
fonte
10

Il test della penna è un'impresa delicata e potenzialmente complessa, e non il tipo di cosa da insegnare sul lavoro.

Oltre a lasciare impronte, sarei anche preoccupato di lasciare accidentalmente la distruzione, o di oltrepassare per sbaglio i limiti del set di obiettivi.

Piuttosto che aver paura dei tuoi pari, chiedi loro di assisterti nei tuoi primi diversi lavori e osserva cosa stai facendo; apparentemente in modo che possano catturare cose che ti mancano, ma soprattutto per impedirti di fare qualcosa di stupido. E aiuta avere qualcuno a cui porre domande.

    
risposta data 29.02.2012 - 07:09
fonte

Leggi altre domande sui tag