Huellas de retroceso

4

Me han contratado para realizar una evaluación de penetración (escaneo, pruebas, etc.) (Soy nuevo en la industria y aprendí a través de la capacitación sobre la concentración en offsec)

Mientras entrenaba, he estado haciendo la mayor parte de mi Pentest con vmware backtrack, instalé las herramientas necesarias, solucioné cualquier problema con los controladores wifi, tengo un buen tema, etc.

¿Cuáles son mis opciones sobre el uso de un backtrack actualizado, con las herramientas personalizadas que necesito y los parches sin dejar huellas? Si uso vmware, ¿qué tipo de huella podría dejar atrás?

Me sentiría avergonzado de que mis compañeros vean los registros y vean una evaluación de Pentest dejando atrás huella & registros.

    
pregunta Rick Rhodes 29.02.2012 - 00:52
fuente

2 respuestas

4

Dependiendo del compromiso, dejar huellas y trazas de registros puede ser importante. Si los administradores están revisando sus registros, es posible que necesiten saber que una anomalía provino de una fuente no malintencionada o que luego puedan determinar que un evento fue causado por sus acciones. Pero, depende del compromiso.

Uno de los pasos de un pentest es el Cleanup , que implica la eliminación de sus rastros. Si su compromiso implica esto, entonces no importa qué huellas queden atrás, las eliminará.

Entonces, ¿qué pasa si otros pueden determinar que realizó un pentest? Puede ser magistral no dejar rastros, pero si está aprendiendo y es nuevo en el campo, va a dejar rastros. ¿El compromiso requiere completo sigilo? ¿Te dan suficiente tiempo para ser completamente sigiloso? ¿Le importa al cliente que no deje rastro, o esta preocupación se basa en su orgullo? Si es una cuestión de orgullo, entonces es tan admirable que quieras aumentar tu nivel de habilidad, pero parece que necesitas crear una base más sólida en el campo antes de preocuparte demasiado por los golpes magistrales.

Para su pregunta específica sobre VMWare, su dirección MAC provendrá de un MAC virtual que indicará que es de VMWare, y puede probar esto utilizando Wireshark. No tengo conocimiento de ningún otro rastro que la VM dejará. El MAC se mostrará en los registros de dispositivos de red que están directamente conectados a su máquina.

Las herramientas de seguridad web dejan otras huellas (como nmap html scripts ) que generalmente proporcionan una configuración de agente de usuario personalizada que se puede cambiar.

Por lo tanto, mi respuesta se reduce a:

  • ¿Es importante que no dejes huellas?
  • ¿vas a borrar los registros de todos modos?
  • ¿importa que tus compañeros sepan lo que estabas haciendo?
respondido por el schroeder 29.02.2012 - 17:49
fuente
10

La prueba de la pluma es una tarea delicada y potencialmente complicada, y no es el tipo de cosa para enseñarte a ti mismo en el trabajo.

Más allá de dejar huellas, también me preocuparía dejar accidentalmente la destrucción o sobrepasar los límites de tu conjunto de objetivos.

En lugar de tener miedo de tus compañeros, les pides que te ayuden en tus primeros trabajos y observen lo que estás haciendo; aparentemente para que puedan atrapar las cosas que extrañas, pero principalmente para evitar que hagas algo estúpido. Y ayuda tener a alguien a quien hacerle preguntas.

    
respondido por el tylerl 29.02.2012 - 07:09
fuente

Lea otras preguntas en las etiquetas