Gestire una vulnerabilità al di fuori dell'ambito del test di penetrazione

Naviga le tue risposte
1

Situazione ipotetica: sto conducendo un test di penetrazione per un cliente. È stato definito un ambito di impegno su ciò che posso o non posso fare. Durante l'esecuzione di una scansione delle vulnerabilità, mi imbatto in una vulnerabilità nota che non rientra nel mio ambito. Come faccio a gestirlo professionalmente?

Dal punto di vista legale, non posso eseguire ulteriori valutazioni in quanto opererei intenzionalmente al di fuori dello scopo. Tuttavia, non sono tecnicamente già uscito dal mio campo di applicazione? Se dovessi riferire su questo, senza eseguire altri test di penetrazione, potrei incorrere in eventuali ramificazioni legali?

Se sono in chiaro legalmente, come si dovrebbe trattare correttamente con questo? È meglio segnalarlo al mio cliente come un uso regolare che ha trovato una vulnerabilità o sarebbe meglio includere questo è un report?

Se sono in pericolo di trovarmi nei guai legalmente, qual è il modo corretto di affrontarlo per proteggermi?

    
posta Gavin Youker 08.12.2016 - 01:41
fonte

2 risposte

4

Non è possibile rispondere a questo completamente senza conoscere molti più dettagli.

Tuttavia, in generale, la prima cosa che vorrei sapere è la relazione che hai con il cliente. Dal suono delle restrizioni imposte a te, suppongo che non sia così buono che limita le tue opzioni. La cosa "migliore" sarebbe parlare con il cliente non appena si incontra qualcosa. Ma come hanno scoperto Snowden e altri, questa non è sempre una mossa saggia.

In definitiva, questo dipende dal tuo contratto. Qualsiasi contratto di pen-test dovrebbe avere clausole che ti coprano per le situazioni in cui vengono scoperte vulnerabilità al di fuori dell'ambito come conseguenza del tuo intervento sul campo di applicazione.

Tuttavia, per affrontare le complessità contrattuali e legali, deve consultare un esperto legale adeguatamente informato. Se sei un membro di un gruppo commerciale, possono anche essere in grado di assistere. Ovviamente questo forum non può fornire consulenza legale anche se qualcuno volesse farlo.

    
risposta data 08.12.2016 - 09:47
fonte
2

Eticamente, dovresti sempre rivelare le tue scoperte. Legalmente, non puoi andare oltre il tuo scopo. Potresti finire in una posizione in cui il tuo rapporto non è completo come vorresti.

È opportuno avvisare immediatamente del cliente che ha riscontrato una vulnerabilità ma non è stato possibile analizzarlo completamente senza superare l'ambito. Forse il tuo ambito può essere regolato, anche se è solo una singolare eccezione per questa particolare vulnerabilità. Dovresti chiarire al tuo cliente che maggiori informazioni ti consentono di fornire una valutazione migliore, ma lo fanno in modo educato, dal momento che potrebbero essere riluttanti a prendere in considerazione qualsiasi rischio con un sistema critico. Alcuni clienti impiegano del tempo per decidere sulle modifiche dell'ambito, quindi questi problemi dovrebbero essere comunicati non appena possibile.

Se hai un datore di lavoro, potrebbero avere una politica. Questa situazione non è inaudita e probabilmente hai una risposta già pronta se lavori per una società consolidata.

Indipendentemente dal fatto che il tuo ambito sia ampliato o meno, di norma verrebbe risolta la vulnerabilità del tuo rapporto nella misura in cui i dati lo consentono. Se ulteriori indagini non sono autorizzate, dovresti tenerlo presente. Se puoi suggerire eventuali attenuazioni / correzioni in base a ciò che sai, lo fai ancora. In caso contrario, dovresti specificare esplicitamente che non sono possibili attenuazioni o correzioni suggerite senza ulteriori indagini.

    
risposta data 13.04.2018 - 19:51
fonte

Leggi altre domande sui tag

Quando ci si connette a un server usando ssh ma non si autentica usando una chiave privata, quale chiave viene utilizzata per crittografare i dati che vengono trasferiti? Gli hacker possono passare inosservati con un certificato valido con SSLSplit