Manejo de una vulnerabilidad fuera del alcance de la prueba de penetración

Navega tus respuestas
1

Situación hipotética: estoy realizando una prueba de penetración para un cliente. Se ha definido un ámbito de participación de lo que puedo y no puedo hacer. Al realizar una exploración de vulnerabilidades me encuentro con una vulnerabilidad conocida que está fuera de mi alcance. ¿Cómo hago para manejar profesionalmente esto?

Legalmente, no puedo realizar más evaluaciones ya que estaría trabajando intencionalmente fuera del alcance. ¿Sin embargo, técnicamente no he salido de mi alcance? Si tuviera que informar sobre esto, sin realizar ninguna otra prueba de penetración, ¿podría encontrar alguna ramificación legal?

Si estoy en claro legalmente, ¿cómo se trataría esto correctamente? ¿Es mejor informar a mi cliente como un uso regular que encontró una vulnerabilidad o sería mejor incluir este informe?

Si estoy en la amenaza de estar legalmente en problemas, ¿cuál es la forma correcta de lidiar con esto para protegerme?

    
pregunta Gavin Youker 08.12.2016 - 01:41
fuente

2 respuestas

4

No es posible responder esto completamente sin conocer muchos más detalles.

Sin embargo, en general, lo primero que querría saber es qué tan buena relación tiene con el cliente. Por el sonido de las restricciones impuestas, supongo que no es tan bueno lo que limita sus opciones. Lo "mejor" sería hablar con el cliente tan pronto como te encuentres con algo. Pero como han descubierto Snowden y otros, esto no siempre es un acierto.

En última instancia, esto se reduce a su contrato. Cualquier contrato de prueba de pluma debe tener cláusulas que lo cubran para situaciones en las que se descubren vulnerabilidades fuera del alcance como consecuencia de su trabajo dentro del alcance.

Sin embargo, para lidiar con el contrato y las complejidades legales, debe consultar a un experto legal con los conocimientos adecuados. Si usted es miembro de un grupo comercial, también pueden ayudarlo. Obviamente, este foro no puede brindar asesoramiento legal, incluso si alguien aquí lo desea.

    
respondido por el Julian Knight 08.12.2016 - 09:47
fuente
2

Éticamente, siempre debe revelar sus hallazgos. Legalmente, no puedes ir fuera de tu alcance. Puede terminar en una posición en la que su informe no sea tan completo como le gustaría.

Es apropiado informar al cliente inmediatamente que encontró una vulnerabilidad pero que no pudo investigarla por completo sin exceder su alcance. Tal vez su alcance se pueda ajustar, incluso si Es solo una excepción singular para esta vulnerabilidad en particular. Debe dejarle claro a su cliente que más información le permite brindar una mejor evaluación, pero hacerlo con cortesía, ya que puede que no estén dispuestos a considerar correr ningún riesgo con un sistema crítico. Algunos clientes se toman el tiempo para decidir sobre los cambios de alcance, por lo que estos problemas deben comunicarse tan pronto como sea posible.

Si tiene un empleador, es posible que tenga una política. Esta situación no es desconocida y es probable que tenga una respuesta preparada si trabaja para una empresa establecida.

Ya sea que se amplíe o no su alcance, normalmente trataría la vulnerabilidad en su informe en la medida en que sus datos lo permitan. Si no se autoriza una investigación adicional, debe tenerlo en cuenta. Si puede sugerir mitigaciones / correcciones basadas en lo que sabe, todavía lo hace. Si no es así, debe indicar explícitamente que no es posible realizar mitigaciones o soluciones sugeridas sin más investigación.

    
respondido por el DoubleD 13.04.2018 - 19:51
fuente

Lea otras preguntas en las etiquetas

¿Visitas páginas HTTPS a través de VPN = doble cifrado? Cuando se conecta a un servidor con ssh pero no se autentica con una clave privada, ¿qué clave se usa para cifrar los datos que se transfieren?