Pen tester revelando información de usuarios para la compañía

1

En mi empresa, el equipo de administración de la red decidió realizar pruebas de penetración y usó un IT independiente para ello.

Durante el proceso, pudo revelar muchos nombres de usuario y contraseñas que no estaban muy protegidas 'http, proxy básico de autenticación, etc.'

¿Puedo enviar esta información y cualquier otra información privada y relacionada con el usuario a los administradores, y qué debo hacer como usuario normal para evitar ese tipo de violación de la privacidad?

P.S: tal vez toda la prueba de penetración es para 'hackear' la privacidad de los usuarios, lo que la hace mucho peor.

    
pregunta Emadeddin 21.08.2016 - 01:17
fuente

3 respuestas

2

Creo que está bien entregar información del usuario siempre que esté claramente relacionada con el trabajo del usuario en la empresa y con la seguridad de la empresa. Yo, como empleador, me gustaría saber si hay empleados que usan contraseñas débiles, etc. porque esto afecta claramente a la seguridad de la TI corporativa.

Las cuentas de redes sociales de los usuarios claramente no tienen nada que ver con el trabajo del usuario en la empresa. El hecho de que trabaje en la compañía X no autoriza a su gerente de la compañía X a piratear su cuenta de Facebook, de manera muy parecida a no autorizar a su gerente a ingresar a su departamento y ver qué está haciendo allí.

Sin embargo, hay un área gris que creo que es bastante relevante: si los usuarios usan las mismas contraseñas para el negocio y sus cuentas personales, este puede ser relevante para la seguridad de la compañía y yo, como responsable, lo haría. Quiero saber sobre eso. Por lo tanto, puedo entender por qué le pidieron que también piratee las cuentas de las redes sociales, incluso si es más que obvio que esta no es la forma correcta de abordar este problema.

    
respondido por el kaidentity 21.08.2016 - 13:41
fuente
0

Sus administradores probablemente ya tengan acceso a estas informaciones. Probablemente tienen acceso de root a todo. Ya tienes que confiar en ellos. Si no lo haces, corre.

    
respondido por el Tom 21.08.2016 - 01:52
fuente
0

Bueno, lo más importante de qué preocuparse con las pruebas de lápiz es probablemente la confianza. No contrataría a un abogado en el que no confíe, no iría a un hospital en el que no confíe y no debería contratar un examinador de bolígrafos en el que no confíe.

El probador de lápiz tiene acceso a información potencialmente dañina y ese es su trabajo para intentar recuperar esa información de su sistema. Y ese es también su trabajo para no usar o compartir esa información. Es el mismo tipo de secretos profesionales con los que trataría un abogado o un médico. No creo que sea una buena idea limitar el acceso del comprobador de lápiz. El punto de prueba de la pluma es probar los sistemas más importantes, con los secretos más importantes y garantizar que esos secretos importantes estén a salvo. Entonces, en un momento dado, han probado esos sistemas y es completamente posible que encuentren la manera de acceder a ellos. Sería ridículo pedirle a un examinador de bolígrafos que pruebe solo la parte del sistema que no contiene ningún secreto o que pruebe un sistema separado con datos falsos que no serían idénticos 1: 1, porque no podrían para probar las configuraciones erróneas del sistema real.

No debe preocuparse por el tipo de información a la que pueden acceder, debe preocuparse por si puede o no confiar en su probador de lápiz.

La parte difícil es determinar cómo calcular esta "confianza". La reputación puede ayudar, pero creo que esto se basa principalmente en la opinión ...

Respuesta complementaria sobre los administradores:

Por supuesto, es realmente malo si ni siquiera puedes confiar en tus propios administradores, ya que básicamente tienen acceso a todo, o al menos tienen acceso total a parte de tu sistema. ( koff Snowden koff koff ) Pero hay al menos una cosa que puedes hacer: Para datos muy sensibles como bitcoins por ejemplo, bóveda de hashicorp (no te gusta recomendar producto pero no conozco ninguna alternativa) puede permitir el acceso a algunos servicios solo si se registran varios administradores. Hay muchas menos posibilidades de que varios administradores se coordinen para robar sus datos que un lobo solitario. Puede leer sobre esto y sobre la configuración de seguridad más ultra-paranoica aquí: enlace

También puede separar su sistema en múltiples subsistemas, limitar el acceso a cada administrador individual al mínimo estricto.

También puedes intentar monitorear todo para actividades de administración sospechosas. (¿Qué aspecto tiene un trabajo de administración sospechoso?)

Pero en algún momento, hagas lo que hagas, tus administradores aún tienen más poder que la mayoría de los empleados y aún debes confiar en ellos en algún nivel.

Respuesta complementaria sobre los administradores no calificados:

Esperar que tu administrador no tenga la habilidad para hackearte es no una buena protección. En su modelo de amenaza, debe considerar qué tienen acceso a todo lo que pueden acceder, ya sea que este acceso sea difícil o no. Sabes que la piratería es difícil , ¿significa que puedes dejar sin resolver un error de seguridad extraordinariamente difícil de explotar? ¡Por supuesto que no!

Ten en cuenta que tu administrador tiene acceso fácil a todo lo que tiene acceso.

¿Eso es un problema? ¿Puede confiar en su administrador para tratar con esos datos?

Sí: no hay problema No: reemplace su administrador, agregue la supervisión de un administrador más confiable, doble verificación con Vault o lo que sea.

Su administrador tiene más acceso que el examinador de bolígrafos, si confía en su probador de bolígrafos más que sus administradores, hay algo muy incorrecto.

    
respondido por el Matthieu 21.08.2016 - 01:33
fuente

Lea otras preguntas en las etiquetas