Al pentestear una red, ¿debería un pentester considerar el acceso físico a los dispositivos (por ejemplo, permitir el uso de una memoria USB)? ¿O está fuera de alcance?
Dado que Pentesting es un término amplio, cubre muchos campos, aplicaciones web, revisión de código fuente, pruebas de penetración de red ...
Las pruebas de penetración física son una rama que también puede pertenecer a las tareas de pentesters. Esto puede ir desde verificar qué tipo de protección usa el cliente para asegurar sus datos, hasta la prueba física real (intentar ingresar a las instalaciones de los clientes y ver qué información confidencial podría robar). También he realizado revisiones del centro de datos (lo que se puede ver más como una auditoría a veces, ya que implica una comprobación en lugar de una prueba real) (no va a iniciar un incendio real para ver si la detección de incendios funciona obviamente))
Aunque algunas empresas se especializan en pruebas de penetración física, muchas empresas de pruebas de penetración de TI incluyen pruebas físicas en sus servicios. Esto se debe a que violar un brier físico permitiría al pentester acceder a un entorno más privilegiado. Una empresa de seguridad física puede probar la resistencia de sus cerraduras y guardias de seguridad, pero no comprueba cómo el acceso físico puede traducirse en riesgo de TI.
Algunas compañías han emergido ayudando a los pentesters de TI a moverse hacia el espacio físico. Un ejemplo es esta línea de productos enlace . Un pentester puede entrar en una empresa como invitado y conectar el pwnie express a su red interna, y luego acceder a él de forma remota a través de WIFI o GSM.
Por lo tanto, la prueba física depende de si la compañía que ofrece la prueba puede ofrecer este servicio y si la parte que solicita la prueba está de acuerdo en que "físico" esté dentro del alcance de la prueba.
Como pentester, es probable que tenga acceso a información confidencial para sus clientes (por ejemplo, detalles de vulnerabilidades de seguridad), por lo que sus clientes esperarán que cuide esa información y la mantenga segura.
En este ejemplo, diría que los pentesters deben mantener todos los datos cifrados siempre que se encuentren en un dispositivo móvil (por ejemplo, computadora portátil, tableta, llave USB), ya que siempre existe el riesgo de que se pierda o sea robada.
Además de las consideraciones de seguridad, es probable que el contrato entre el cliente y la empresa Pentest especifique los requisitos para la seguridad de los datos, también dependiendo de si los datos contienen información de identificación personal, entonces puede haber una legislación de protección de datos para considerar.
Entonces, en general, eso sería un sí :)
Lea otras preguntas en las etiquetas penetration-test