вторник, 1 сентября 2009 г.

Всех пентестиров посодют?

Компании "Инфовотч" видимо надоели обвинения в нарушении Конституции РФ и тайны переписки, и они решили перевести внимание на другую группу, подставив экспертов в области тестирования на проникновение. Инкриминируют им не много, ни мало - 273 статью УК - т.е. до 3х лет.
Понятно, что все это глупости, и настоящие пентестеры не создают вредоносное программное обеспечение, а используют утилиты удаленного управления, НО!
Между пентестерами и антивирусной индустрией действительно существует некоторый конфликт.

Г-н Гостев из ЛК в своем блоге комментирует:

конкретизирую еще больше: присесть по 273 пентестер может только если заказчик окажется недоволен или решит сэкономить на оплате. Но возникнут серьезные проблемы с доказательством "создания" и туманным наличием "распространения". Гораздо проще пентестера пустить не по 273, а по 274. Или 272 :)

Тут есть не совсем правда. Дело в том, что по 274 у нас практически нет правоприменительной практики. 272 практически полностью закрывается договором, где прописывается возможность нарушения целостности, доступности и конфиденциальности, а также меры по минимизации последствий.
НО! 273 - подразумевает такую вещь как разработка и распространение вне зависимости от последствий (ущерба). Казалось бы - что здесь такого?

Дело в том, что в ходе тестов на проникновение часто используются различные "утилиты удаленного управления", которые, при желании, можно классифицировать как "вредоносные". Особенно учитывая текущую ситуацию, когда некоторые "очень эвристические" антивирусы срабатывают на любой чих.

Детализирую. Сложность "утилит удаленного управления" может меняться в зависимости от ТЗ на работы. Это могут быть относительно простые вещи (даже HTML или HTA-файлы), которые оставляют маркер в уязвимой системе или на внешнем сервере, демонстрируя наличия проблемы. Такой подход часто используется в ходе оценки эффективности программы повышения осведомленности в области ИБ, когда "закрепление" в нескольких тысячах систем тестируемых сотрудников не имеет смысла.
Но иногда, в ходе глубоких Red Team Pentest заказчика интересует, сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы...
В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту.
Казалось бы - и в чем проблема? На то они и пентесты, чтобы искать уязвимости. По окончанию - отрапортовали антивирусному вендору об уязвимости, он закрыл проблему, и все счастливы...

Но.......................................
Жалко!

Достаточно дорого и затратно разрабатывать новые и новые методы обхода антивирусных средств для каждого теста. Хочется использовать их пока вендор сам не закроет проблему. И сменить responsible (или full) disclosure на non-disclosure.

И тут возникает конфликт. Антивирусному вендору тоже обидно, что кто-то нашел у него уязвимость и во всю использует, не ставя его в известность.

Таким образом, потенциальная проблема есть, но существует она в основном из-за конфликта интересов пентестеров и антивирусных вендоров. И, соответственно, решать её придется каждой компании, занимающейся пентестами для себя индивидуально.

18 комментариев:

swan комментирует...

Пентестеру приходится использовать реальные средства - для повышения достоверности. Вопрос не в том, что он их по договору использует - вопрос ОТКУДА ОН ИХ ВЗЯЛ/разработал...

И тут проблема не между и между а в общем... На мой взгляд необходимо этот вид деятельности отдельно регулировать.

Но и тут проблема - он - пентестер, собака такая, держит базу, улучшает методы...

И любви нет и выгнать нельзя !!! (с) swan

Pento комментирует...

Ох уж, это российское законодательство. И всё же. Взять ту же кору или метаслоит.
Все действия согласованы с Заказчиком. в договоре всё указано. Что может грозить пентестеру? Ведь тот же метаслоит, вернее экплоит из его набора, эксплатирует уязвимость в системе...

Dmitry Evteev комментирует...

какой там метасплоит...
всех посадют за telnet %))

Сергей Гордейчик комментирует...

Цитирую обсуждение. Источник:

http://www.secureblog.info/articles/548.html#comments

Aleks
прочитал.
ничего, что я тут отвечу ?

мне кажется, что ты рассматриваешь довольно уникальную ситуацию. ну ок, нашел пентестер уязвимость антивируса, отпенетрейтил заказчика, указал ему на брешь ... и ? дальше то что ? если пентестер не уведомляет ав-вендора и тот, соответственно, не закрывает багуP то что делать заказчику ? на дыру ему указали, а метод решения проблемы где ? переход на другой ав ? это влечет за собой новый тест с потенциально вытекающими последствиями описанными выше.
так что для пентестера вариант "сообщить ав-вендору" — наверное все-таки единственный.


Ego1st
а что заказчик сам не может сообщить ав-вендору?
вообще с точки зрения логики бред какой-то получается, насколько знаю пентестеры довольно подробно пишут чего делать будут в системе и если заказчик согласен со всем этим, независимо от того к каким последствиям это приведет, обвинять потом пентестера идиотизм..
Это что же получается такое что если я дом накодю чего-нибудь типа радмина поставлю на все свои машины, и потом раздам еще друзьям, меня посадить могут за то что я создал и распространил, и не сертифицировал данную утилиту?

gordey
>а что заказчик сам не может сообщить ав-вендору?

В реальности disclosure приходится отрабатывать самим, потому как это мутная процедура.
Вот примеры:
http://www.securitylab.ru/lab/

>заказчик согласен со всем этим, независимо от того к каким
>последствиям это приведет, обвинять потом пентестера идиотизм..

Угу. Но как я писал — конфликт не между заказчиком и пентестером.

>Это что же получается такое что если я дом накодю
>чего-нибудь типа радмина поставлю на

Легко, особенно если она разойдется и её воспользуется кул-хацкер. Она попадет в антивирусные базы как вредоносная и будет "оружием преступления". А ты — создателем и распространителем.

Думаешь зря 3APA3A бучу поднимал в свое время? Ибо Ахтуг!
http://securityvulns.ru/articles/antiantivirus2.asp


gordey
Есть вещи которые не закрываются — например "втакабельность" пользователей во всякую бяку. Фоновый процент, который остается — около 10% сотрудников. Что бы ты не делал. То же самое и с антивирусами (и другими темами) — всегда есть что-то, что не закрывается.
Вопрос затрат атакующего и приемлемости риска для заказчика.
Ну и естественно трудозатрат пентестера.

Давай приведу конкретный пример:
В тулзы а-ля MetaSploit, Canvas, Core Impact входит так называемый backend, который по сути — ничего себе троян с функциями руткита. Последний Canvas даже backchannel между VmWare и Host организует.
Детектируются ли они антивирусами? Если вы их поймаете in-the-wild — включите детект в продукт? Если да, то фактически вы повесите этим производителям обвинение, поскольку текущий практический критерий "вредоносности" это детект продукта антивирусом.

Aleks

"Детектируются ли они антивирусами? Если вы их поймаете in-the-wild включите детект в продукт?"

слушай, ну все решаемо :) с тем же Заразой я лично давным-давном решал аналогичный кейс с 3proxy. Нормально договорились, что все что сделано им лично (непакованный PE и присланный им нам) — мы детектим как not-a-virus, все остальное — как трояны.
А уж как мы с RAdmin такие вопросы решали и что там было — ого-го-го... увы, разглашать не могу. Но решаемо все.

gordey
>слушай, ну все решаемо :)

Конечно! Сам не раз MaxPatrol и XSpider из антивирусных баз "вычищал".
Это я контент генерирую, чтобы потом на дурацкие вопросы просто ссылку давать.

Сергей Гордейчик комментирует...

>И тут проблема не между и между а в общем...

Если спустится с горних высот, то в реальной жизни конфликт именно между и между может привести к практическому обнаружению некоторых несоответствий в законодательстве.

Сергей Гордейчик комментирует...

>? Ведь тот же метаслоит, вернее экплоит из его набора

Если экплойт из метасплойта будет классифицирован антивирусной компанией как вредоносное ПО, тогда пентестер - уголовник :)

Dmitry Evteev комментирует...

так... откатываемся вновь к блогу infowatch: http://forensics.ru/ras_tolkovanie.html#definition

Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.

Следовательно, антивирусные компании могут считать любую программу "вредоносной" (на их усмотрение), а в судебном порядке вредоносной программой будут считать программу в соответствии с приведенном выше определением.

swan комментирует...

Доло не в легальном использовании в РАЗРАБОТКЕ !!!

Вот Вам практика:
http://vazone.ru/wordpress/?p=221
http://vazone.ru/wordpress/?p=253
И потом в случае проблем никто рассматривать договор не будет...
По аналогии если что то травонулся в кафе - никто не будет принимать во внимание договор между кафе и посетителем о том, что посетитель предупрежден что может травануться !!!

Анонимный комментирует...

>http://vazone.ru/wordpress/?p=221
>http://vazone.ru/wordpress/?p=253

Собственно эта практика за уши к случаю притянута, поскольку тут есть факт ущерба.

Сергей Гордейчик комментирует...

>Доло не в легальном использовании в РАЗРАБОТКЕ !!!

Дело не в разработке, а в критериях вредоносности. О чем я тут на нескольких страницах и растекаюсь.

Анонимный комментирует...

Dmitry Evteev пишет...

>нтивирусные компании могут считать любую программу "вредоносной" (на их усмотрение)

Верно!

>а в судебном порядке вредоносной программой будут считать программу в соответствии с приведенном выше определением

Не верно! В соответствии с мнением антивирусных компаний :)

nghtf комментирует...

Вредоносным будет считается то средство, которое как "вредоносное" указал эксперт, в ходе судебной экспертизы. Разве не так? Если кто-то вокруг считает что-то вредоносным, то это не значит, что его мнение будет принято в суде. Например, многие господа, считают ПО Microsoft вредоносным, причем в государственном масштабе.

Возвращаясь к теме публикации: "посодют" всех кого будет надо, это, на мой взгляд, очевидно. А вопросы соответствия нормам законодательства, как верно указано в конце статьи, будет решаться в индивидуальном порядке каждым, как и все подобные вопросы.

nghtf комментирует...

Ну, и раскрытие уязвимостей это вопрос исключительно этический. А когда речь идет о деньгах, то этика обычно отодвигается на второй план. Вернее взвешивается стоимость этичного поведения :) и результат чаще не в пользу этики.

Pento комментирует...

Ну вот и дсек подтянулся:
http://pcidss.ru/blog/24.html
Ситуация становится всё более и более интересной.

Сергей Гордейчик комментирует...

Чем дальше в лес, тем толще партизаны.
Тут гораздо интересней дело заварилось. "Под статью" подтягивают не только пентестеров но и вообще аудиторов. Всех. Не только "безопасных" :)

Анонимный комментирует...

С антивирусами более-менее понятно.
Скажем, как быть, когда осуществляется проверка веб-ресурса. Действия пентестера могут нарушить договор заказчика и хостера, тогда хостер может подать иск. Таким образом пентестер или заказчик должен еще и согласовывать свои действия, а то и заключать соглашения-договоры с ним.

разработка web разработка комментирует...

методические разработки разработка сайтов http://web-miheeff.ru методические разработки

разработка сайтов москва комментирует...

разработка технологии разработка сайтов http://web-miheeff.ru разработка технологии