¿Cuál es la forma más adecuada de notificar / solicitar el permiso de un ISP relacionado con las pruebas de seguridad?

6

En algunas de las publicaciones que he leído en este sitio, como ¿Es legal la piratería cuando un amigo le permite intentar piratear su sistema? y La mejor forma de probar mi red doméstica desde afuera , los usuarios que respondieron señalaron que los evaluadores deberían notificar o solicitar permiso de su ISP para hacer pruebas. Tengo dificultades para imaginar que tales solicitudes se resolverían muy bien con un ISP. Parece que tienen todo para perder (desde un punto de vista de responsabilidad), y poco o nada que ganar, al aprobar su solicitud para realizar pruebas de penetración en su red.

¿Alguien ha solicitado con éxito a un ISP permiso para realizar pruebas relacionadas con la seguridad en su red? ¿Cómo se haría?

    
pregunta Joe M. 26.01.2012 - 01:02
fuente

2 respuestas

7

Nunca he pedido permiso por adelantado (que puedo recordar), pero puedo decir que los clientes en muchas ocasiones han reportado direcciones IP bajo mi control para atacarlos.

Por ejemplo:

  

Violación de TOS - Actividad maliciosa

     

Hemos recibido un informe de actividad maliciosa que se originó en una dirección IP asignada a (eliminado). Investigue esta queja y actualice este ticket dentro de las 24 horas para evitar una interrupción en el servicio.

La mayoría de las veces, mis clientes simplemente ignoraron la lista de direcciones IP autorizadas que mencioné que puedo usar durante las pruebas.

En cada ocasión, después de responder a una violación de TOS, el ISP va a verificar con el objetivo que la actividad está autorizada y todo está bien.

Nota: Amazon ahora facilita solicitar permiso por adelantado: enlace (He escuchado a otros hazlo también ahora)

    
respondido por el Tate Hansen 26.01.2012 - 07:59
fuente
3

Solía incluir siempre en un requisito contractual que el cliente tenía que obtener la firma del ISP antes de que aceptáramos cualquier prueba remota. Efectivamente, esta fue una carta de "no hacer daño" que explica que el evaluador (nosotros) estaría usando técnicas que podrían verse exactamente como un ataque real. La clave es que el cliente lo solicite, usando nuestra plantilla

Hicimos esto con los ISP en el Reino Unido, EE. UU., Europa y Asia, pero solo para aclarar, la mayoría de estos clientes eran generalmente corporaciones multinacionales con gerentes de relaciones dedicados con el ISP en cada territorio, etc. Para clientes locales más pequeños en Escocia, hicimos lo siguiente. Igual, pero los ISP a menudo también eran locales, por lo que su millaje puede variar si tiene un cliente pequeño y un ISP grande: puede que al ISP no le importe.

    
respondido por el Rory Alsop 26.01.2012 - 11:34
fuente

Lea otras preguntas en las etiquetas