вторник, 1 сентября 2009 г.

Всех пентестиров посодют?

Компании "Инфовотч" видимо надоели обвинения в нарушении Конституции РФ и тайны переписки, и они решили перевести внимание на другую группу, подставив экспертов в области тестирования на проникновение. Инкриминируют им не много, ни мало - 273 статью УК - т.е. до 3х лет.
Понятно, что все это глупости, и настоящие пентестеры не создают вредоносное программное обеспечение, а используют утилиты удаленного управления, НО!
Между пентестерами и антивирусной индустрией действительно существует некоторый конфликт.

Г-н Гостев из ЛК в своем блоге комментирует:

конкретизирую еще больше: присесть по 273 пентестер может только если заказчик окажется недоволен или решит сэкономить на оплате. Но возникнут серьезные проблемы с доказательством "создания" и туманным наличием "распространения". Гораздо проще пентестера пустить не по 273, а по 274. Или 272 :)

Тут есть не совсем правда. Дело в том, что по 274 у нас практически нет правоприменительной практики. 272 практически полностью закрывается договором, где прописывается возможность нарушения целостности, доступности и конфиденциальности, а также меры по минимизации последствий.
НО! 273 - подразумевает такую вещь как разработка и распространение вне зависимости от последствий (ущерба). Казалось бы - что здесь такого?

Дело в том, что в ходе тестов на проникновение часто используются различные "утилиты удаленного управления", которые, при желании, можно классифицировать как "вредоносные". Особенно учитывая текущую ситуацию, когда некоторые "очень эвристические" антивирусы срабатывают на любой чих.

Детализирую. Сложность "утилит удаленного управления" может меняться в зависимости от ТЗ на работы. Это могут быть относительно простые вещи (даже HTML или HTA-файлы), которые оставляют маркер в уязвимой системе или на внешнем сервере, демонстрируя наличия проблемы. Такой подход часто используется в ходе оценки эффективности программы повышения осведомленности в области ИБ, когда "закрепление" в нескольких тысячах систем тестируемых сотрудников не имеет смысла.
Но иногда, в ходе глубоких Red Team Pentest заказчика интересует, сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы...
В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту.
Казалось бы - и в чем проблема? На то они и пентесты, чтобы искать уязвимости. По окончанию - отрапортовали антивирусному вендору об уязвимости, он закрыл проблему, и все счастливы...

Но.......................................
Жалко!

Достаточно дорого и затратно разрабатывать новые и новые методы обхода антивирусных средств для каждого теста. Хочется использовать их пока вендор сам не закроет проблему. И сменить responsible (или full) disclosure на non-disclosure.

И тут возникает конфликт. Антивирусному вендору тоже обидно, что кто-то нашел у него уязвимость и во всю использует, не ставя его в известность.

Таким образом, потенциальная проблема есть, но существует она в основном из-за конфликта интересов пентестеров и антивирусных вендоров. И, соответственно, решать её придется каждой компании, занимающейся пентестами для себя индивидуально.