To pentestere arrestert for innbrudd i domstol. Var på oppdrag for å sjekke sikkerheten

[Gjest Marius B. Jørgenrud]

To pentestere arrestert for innbrudd i domstol. Var på oppdrag for å sjekke sikkerheten

[Sandormen]

Teit å ikke komme med et minimum av beskrivelse på hvor omfattende de har tenkt å gjennomføre pentesting, for å få jobben godkjent i forkant. ?

[Lugmeister]

Morsomt at det ligger en annonse på to faste stillinger rett under saken

[Sindre Rudshaug]

"inkludert forsøk på «uautorisert adgang»" er et rasjonelt get-out-of-jail-freecard, men ingen hevder vel at dommeren i denne saken er rasjonell.

[Gjest Slettet-Pqy3rC]

Teit å ikke komme med et minimum av beskrivelse på hvor omfattende de har tenkt å gjennomføre pentesting, for å få jobben godkjent i forkant.

Nja, vanskelig. Noe av poenget er her å finne måter å komme rundt etablerte sperrer; fysiske, tekniske og elektroniske. Sier en fra sånn ca hva en har tenkt å prøve kan forsøket lett bli ødelagt av at folk hos kunde ikke lenger gjør hva de normalt hadde gjort.

 

Arrestasjoner pga dette har skjedd tidligere også, men aldri sett det i media før. Den lekkasjen er rimelig uprofesjonell.

Endret 13. september 2019 av Slettet-Pqy3rC

[Spoki0]

Teit å ikke komme med et minimum av beskrivelse på hvor omfattende de har tenkt å gjennomføre pentesting, for å få jobben godkjent i forkant. ?

 

Det er ofte mot sin hensikt å presisere hva en skal forsøke for å få tilgang til systemene.

 

"Vi skal sende deg spearphishing per epost i morgen, hvis det ser legitimt ut kan du trykke på linken eller laste ned vedlegget!"

 

Fysisk innbrudd er helt legitimt for skikkelig penetrasjonstesting. De skal tross alt imitere en motivet angriper, og de kan like gjerne bryte seg inn fysisk som digitalt, avhengig av hva som er lettest.

[-Night-]

Såå ikke en testplan som er godkjent av kunde...

[Sandormen]

Det er ofte mot sin hensikt å presisere hva en skal forsøke for å få tilgang til systemene.

 

"Vi skal sende deg spearphishing per epost i morgen, hvis det ser legitimt ut kan du trykke på linken eller laste ned vedlegget!"

 

Fysisk innbrudd er helt legitimt for skikkelig penetrasjonstesting. De skal tross alt imitere en motivet angriper, og de kan like gjerne bryte seg inn fysisk som digitalt, avhengig av hva som er lettest.

Om du går til skrittet med å bryte inn (fysisk) må man jo ha en avtale med den ansvarlige som bestiller oppgaven (pentestingen). Man behøver ikke si i detaljer hva man gjør, bare enkelt å greit gjøre det klart at de vil forsøke å gjøre innbrudd. Eventuellt få forkastet den delen av prosjektet. ?

 

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

[Zork]

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

 

Skjønner ikke helt den analogien...

 

Du ansetter vel ikke en gartner for å sjekke hvor godt du følger med på om noen herjer med, og ødelegger, hagen din?

[G]

Merkelig at det ikke står en oppdragsgiver klar på innsiden for å fortelle politiet at de var ansatt til oppgaven. Når domstolen ikke spiller på lag, så må de vel kunne regne med at selskapet som utførte oppdraget kommer til å be om utlegg for tort og svie?

[Spoki0]

Om du går til skrittet med å bryte inn (fysisk) må man jo ha en avtale med den ansvarlige som bestiller oppgaven (pentestingen). Man behøver ikke si i detaljer hva man gjør, bare enkelt å greit gjøre det klart at de vil forsøke å gjøre innbrudd. Eventuellt få forkastet den delen av prosjektet. ?

 

Er vel ikke så vanskelig å forstå.

Om jeg får en gartner til å rydde i hagen forventer man ikke at gartneren hugger ned furutrær ved rota, uten godkjenning først?

De hadde jo den avtalen.

 

Igjen, det er ofte mot sin hensikt å presisere slikt. Hvis kunden vanligvis ikke låser døren, så kan du være sikker på at de gjør det i to uker når du skal sjekke fysisk sikkerhet. Testen representerer da ikke lenger normale forhold og kunden sitter igjen med en illusjon om sikkerhet.

 

Hvis de må ødelegge noe for å bryte seg inn må de naturligvis erstatte det. De har jo ikke lov til å herje rundt og ødelegge digitalt heller. Det er helt vanlig å få en liste over kritiske servere som ikke skal røres.

 

Ellers rar sammenligning. Som ble nevnt ovenfor her, du ansetter skjeldent en gartner for å sjekke om du følger med på hva som skjer i hagen din. Hvis du derimot gjør det, er det litt rart å klage i ettertid fordi gartneren gjorde ting på nattestid, og du ikke var forberedt på det.

[EWNN849Y]

Det er ingen grunn til å skrive at "jobben ikke gikk helt etter planen" dersom pentesting blir oppdaget. Pentestere vet veldig godt at de blir oppdaget nå og da, og at de også skal ha planlagt slike situasjoner.

 

I denne saken kan det hende at sikkerhetsselskapet (Coalfire) har gjort en eller flere feil da kontrakten på oppdraget ble inngått. Nå og da hender det også at en klient ønsker å etterprøve at pentestere faktisk har fulgt de avtalte spilleregler for et oppdrag.

[Tore Rosander]

Morsomt å lese alle kommentarene som omhandler selve kontrakten og hva som er avtalt eller ikke når ingen har tilgang til den opprinnelige kontrakten.