Uma prática horrível invadiu o mercado de pen-test, se é que podemos chamar isso de prática. A técnica consiste no envio de arquivos do office ou arquivos pdf com algum tipo de backdoor. Utilizando pura e simplesmente de engenharia social a empresa contratada para testar os controles de segurança envia um arquivo malicioso que, pode ser um currículo em pdf para o RH. Naturalmente alguém irá abrir o arquivo, e após isso é "OWNADO" e o FUD começa, direito a filme e tudo.
Pergunta: que controle você testou com isso? Você apenas irá saber que precisa de uma campanha de conscientização, não terá nenhum tipo de validação dos controles de perímetro da sua rede.
Testes como esse podem ser usados para testar o nível de conscientização de seus usuários, mas nunca como ferramenta de avaliação de controles técnicos. E lamentavelmente muitos acham isso a última maravilha do mercado de segurança, pois, saibam todos que a técnica já não tinha nada complicado e agora ficou mais prático e banal com a implementação desta feature no metasploit 3.2. vejam os exemplos a seguir:
Criando um pdf com backdoor
Criando um arquivo do word com backdoor
Agora faça o seguinte, procure profissionais sérios e competentes para testar seus controles de segurança, não aceite qualquer coisa.
10 comentários:
Sinceramente acredito que isso não possa e nem deve ser utilizado em um pentest, não é coisa que se apresente em um relatório de pentest a não ser que esteja no escopo do mesmo testar a inteligência da tia do RH.
Mas de qualquer forma isso existe (e funciona! testei ambos), e com certeza será usado por pessoas mal intencionadas para fazer uma intrusão... importante citar também que isso não é uma técnica NOVA, e sim uma evolucao passando de arquivos executáveis com suas assinaturas embralhadas com objetivo de passar por AV's para arquivos pdf e doc/xls(esses tb são antigos) ..
Excelente alerta Wagner, a imagem ficou FERA! :)
abraços!
Um controle pelo menos você está testando - se seu patch management para o Acrobat Reader e para o Microsoft Office está funcionando. Para mim parece válido.
Oi Cima,
sim você está testando um controle. Agora todos os outros que um pen-test pode testar?
Uma coisa é uma coisa, outra coisa é outra coisa...rs...
Wagner, até já sei quem é ;-)
Mas o Cima está correto, a abordagem testa controles sim. Desde o patch management para esses produtos até a capacidade de detecção e proteção contra atacantes "pseudo-internos". Sem dúvida tem o seu valor.
Dito isso, é importante que a empresa seja clara com o cliente sobre o que está testando. Usar uma abordagem que funciona contra 9 em 10 organizações e chegar no cara e dizer "sua segurança é uma piada" não é completamente honesto. Uma abordagem mais adequada seria fazer os dois tipos de teste, pelo perímetro e pela "engenharia trojan-social", e mostrar os resultados de forma balanceada. Afinal de contas, o resultado de um pentest que só testa o perímetro pode dar ao cliente a falsa sensação de segurança, já que ele pode imaginar que todos os pontos de entrada foram testados.
Augusto,
sim este tipo de teste pode ser usado, mas nunca vai ser um pen-test IMHO.
Quanto ao pen-test passar uma falsa sensação de segurança eu discordo, pois ele nunca é vendido como se fosse a máxima de testes de controles (pelo menos não deveria ser vendido assim). Um pen-test na maioria das vezes vai testar os controles de perímetro e pode se estender a testes como mencionados por você e pelo Cima, mas não vai substituir uma análise de vulnerabilidade completa em todos os controles.
O ponto que quero destacar é, estas empresas que usam desta técnica estão fazendo FUD e usando os arquivos maliciosos para ganhar acesso e não como teste de patch management e conscientização.
Abs.
Sim, tem muito FUD. Mas IMHO acho a capacidade de se identificar e se proteger contra um invasor já dentro da rede algo tão importante quanto testar o perímetro. Testando apenas o perímetro você praticamente descarta a ameaça interna.
E, mesmo com o teste sendo corretamente vendido há uma chance enorme dos resultados serem mal interpretados (não apenas por quem contratou mas pelos outros executivos). É a velha história do "aqueles caras que a gente contratou não conseguiram entrar, a gente não precisa fazer mais nada".
Se não for testar com trojan, pelo menos um teste interno deve ser feito junto!
Realmente uma análise de vulnerabilidade completa considerando os insiders deve ser feita, tem toda razão.
[...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]
Acredito que seja valido com certeza o "client side"
de toda forma e um ponto de falha tremendo, caso nao tenha uma politica de patch!
Nao acho uma "pratica horribleee"
my 2 cents.
[...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]
Postar um comentário