blackhat/hacking/penetration test/sicurezza

Un nuovo approccio ai penetration test

http://www.flickr.com/photos/spacepotato/743801194/

I tizi di Metasploit hanno presentato, a BlackHat 2007, un nuovo (ma non troppo) approccio al penetration testing. Il metodo presentato (Tactical approach) si basa sul presupposto che le vulnerabilità sono transitorie e che i veri bersagli sono le applicazioni, i rapporti di fiducia, i processi e soprattutto le persone.

Gli autori introducono il concetto di meatware come elemento centrale della fase di raccolta delle informazioni poiché sono le persone a scrivere il software, ad installarlo, a configurarlo e a gestirlo. Quindi il primo passo consiste nel recuperare informazioni su coloro che hanno creato e che gestiscono tutte le infrastrutture da testare. A tale proposito citano un interessante tool da utilizzare per recuperare da internet tutte le informazioni e le relazioni relative a una persona o a un dominio, si tratta di Evolution della Paterva.com.
A proposito invece del network discovery citano, oltre ai classici tool, il sito DomainTools come fonte pricipale di informazioni. Dopo le persone e le reti l’approccio tattico prevede una fase di application discovery perché “se le reti sono i toast, le applicazioni sono il burro”… in questa fase i tool utilizzati sono i classici Nmap, Amap, Nikto e Nessus. Da citare una frase sul port scanning che ogni pentester dovrebbe mandare a memoria: “A slow, single port scan is able to evade common defensive measures. Slow and steady wins the deface. Scan for specific port, one port only.”. D’ora in poi nmap solo con -T0 contro una sola porta.
Dopo i server è il turno delle applicazioni client, e siamo alla fase client app discovery. Il presupposto è che ora i client, soprattutto i web browser e i programmi per la posta, hanno funzionalità che vanno oltre la visualizzazione delle pagine web e delle email. Inoltre i client sono quasi sempre vulnerabili, non è semplice per gli amministratori gestirne la sicurezza e sono anche facilmente identificabili da remoto. Infine l’ultima fase prevista per la raccolta di informazioni è quella di process discovery, ovvero tenere traccia di cosa fa il nostro bersaglio.

La seconda fase della presentazione riguarda l’utilizzo delle informazioni raccolte, vengono descritti attacchi al web server, al DNS server, ai CGI, in gran parte portati utilizzando la versione SVN di Metasploit, niente di particolarmente innovativo comunque.

In conclusione quello che gli autori tengono a sottolineare è che “Hacking is not about exploits. The target is the data, not r00t”. Dunque una rete sicura dalla quale è possibile recuperare/controllare importanti dati è una rete vulnerabile. Quindi un’intrusione, e anche un penetration test, possono dirsi riusciti non solo quando si ottiene un completo accesso alla rete…
Un altro elemento, sicuramente da approfondire, che viene fuori dal paper è l’inutilità dei penetration test improvvisati, fatti utilizzando i soliti noti tool che vorrebbero automatizare l’intero processo di testing.

Il mantra dell’intera faccenda, che andrebbe stampato ovunque, è
“Tools cannot replace talent”. Amen.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...