blog

Una de las técnicas frecuentemente utilizadas durante las evaluaciones de seguridad, es tratar de obtener información desde los banners correspondientes a los servicios ofrecidos por un host. Este procedimiento puede ser realizado de manera manual, con el propósito de tener un mayor control sobre la información factible de ser obtenida.

El Obtener el Banner es una técnica simple, la cual permite conocer la infraestructura o sistemas detrás de un servicio. Consecuentemente está relacionado con el procedimiento para intentar obtener la huella del sistema operativo.

Ncat es una utilidad de red repleta de funcionalidades, permite escribir y leer datos a través de la red utilizando la línea de comandos. Ncat fue escrito para el proyecto Nmap, como una reimplementación muy mejorada de Netcat. Utiliza TCP y UDP para las comunicaciones, siendo diseñada para ser una herramienta confiable y de esta manera proporcionar conectividad de red hacia aplicaciones y usuarios. Ncat no solo funciona con IPv4 e IPv6, también proporciona una cantidad prácticamente ilimitada de potenciales usos.

Se ejecuta la herramienta Ncat con la opción “-h”, lo cual muestra un listado de sus opciones.

$ ncat -h

Ahora se procede a ejecutar la herramienta Ncat para intentar obtener el banner desde los servicios encontrados en puertos TCP en estado abierto, como el 21, 22, 80, etc.

$ echo “” | ncat -n -v -w1 192.168. 0.50 21
$ echo “” | ncat -n -v -w1 192.168. 0.50 22
$ echo “” | ncat -n -v -w1 192.168. 0.50 80

El comando “echo” muestra una linea de texto, es decir hace eco de una cadena hacia la salida estándar.

La opción “-n” no resuelve los nombres de host a través de DNS. Deshabilita completamente la resolución de hosts a través de toda las opciones de Ncat, como el destino, origen, saltos de encaminamiento, y el proxy. Todas las direcciones deben ser especificadas numéricamente.

La opción “-v” define el nivel de verbosidad (se puede utilizar varias veces). Muestra todo tipo de información útil sobre la conexión.

La opción “-w” es el tiempo de espera. Para este caso se define a 1.

Los resultados obtenidos muestran los banners obtenidos desde los puertos 21,22, y 80. Por ejemplo para el caso del puerto TCP 21, este corresponde a un software de nombre ProFTPD versión 1.3.5.

Este proceso puede ser automatizado utilizando un bucle en la shell, y así evitar manualmente escribir un puerto a la vez.

$ for port in {20..100}; do echo “” | ncat -n -w1 192.168. 0.50 $port; done

Se detecta un servicio FTP en el puerto TCP 21, como ya se obtuvo en un proceso anterior.

Se detecta un servicio HTTP en el puerto TCP 80. En este caso es un Servidor Apache versión 2.4.7. para un sistema operativo Ubuntu.

Entre las muchas otras características de Ncat está la posibilidad de establecer conexiones hacia servicios funcionando sobre SSL, como por ejemplo HTTPS, para luego interactuar con el servicio e intentar obtener información sobre el servidor web.

$ ncat --ssl 45. 33.49.119 443

La opción “--ssl” en modo conexión, negocia de manera transparente una sesión SSL con un servidor SSL, para encriptar de manera segura la conexión. Esto es particularmente útil para conversar con servidores HTTP utilizando SSL.

Mencionar no se debe confiar ciegamente en el nombre del software, aplicación, o versiones expuestas a través de los banners, pues está información puede no ser precisa, o haber sido manipulada intencionalmente por el administrador. Siempre se debe intentar corroborar esta información con otras fuentes.

Fuentes:

https://nmap.org/ncat/
https://linux.die.net/man/1/echo

DNS Cache Snooping, o por su traducción al idioma español; “Espionaje del Caché DNS”, se suscita cuando alguien consulta un servidor DNS para encontrar (espiar) si el servidor DNS tiene un registro DNS específico en su caché, y por lo tanto deducir si el propietario del servidor DNS (o sus usuarios) han visitado recientemente un sitio web específico.

Esto puede revelar información sobre el propietario del servidor DNS, como cual proveedor, banco, proveedor de servicio, etc, utilizan. Especialmente si esto se confirma (espiando) varias veces durante un periodo de tiempo.

Este método podría incluso ser utilizado para obtener información estadística, por ejemplo en cual hora el propietario del servidor DNS típicamente accede hacia la red de un banco. El valor TTL restante del registro en caché del DNS puede proporcionar datos muy precisos para esto.

DNSRecon es una herramienta escrita en Python, el cual se diseñó con el propósito de extender la funcionalidad de la herramienta original, además de conocer como funciona DNS, y como esto puede ser utilizado en el proceso de una evaluación de seguridad o resolución para problemas en red.

Se ejecuta la herramienta DNSRecon con la opción “-h”, para visualizar sus principales opciones.

$ sudo dnsrecon -h

Antes de ejecutar la herramienta DNS se crea un archivo con un listado de nombres de dominio. Para el presente ejemplo se utilizan los dominios correspondientes a algunas redes sociales.

$ cat redes sociales. txt

Se ejecuta la herramienta DNSRecon para deducir si el propietario o usuarios del servidor DNS han visitado recientemente los sitios web incluidos en el archivo de nombre “redes sociales. txt”

$ sudo dnsrecon -t snoop -n 192.168. 0. 58 -D /tmp/redesosciales.txt

La opción -t define el tipo de enumeración a realizar. En este caso “snoop” realiza un DNS Cache Snooping contra todos los servidores DNS para un dominio definido, probando todos los dominios contenidos en el archivo de nombre “redessociales. txt”, archivo el cual se define con la opción “-D”.

La opción -n define el servidor DNS a utilizar, si no se define entonces se utiliza el SOA del host en evaluación.

La opción -D define un archivo Diccionario de nombres de hosts o subdominios para realizar fuerza bruta.

El Espionaje del Caché DNS es posible incluso si el servidor DNS no está configurado para resolver de manera recursiva a terceros, siempre y cuando proporcione registros desde el cache también hacia terceros.

Fuentes:

https://github.com/darkoperator/dnsrecon
https://manpages.debian.org/stretch/dnsrecon/dnsrecon.1.en.html
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking…

Un Escaneo de Lista (List Scan) es una forma para descubrir hosts, el cual simplemente lista cada host sobre la red especificada, pero sin enviar ningún paquete hacia los hosts. Por defecto, Nmap realiza resolución DNS reversa sobre los hosts para conocer sus nombres. Nmap también reporta el número total de direcciones IP al final. El Escaneo de Lista es una buena verificación para asegurarse se tienen las direcciones IP adecuadas para los hosts en evaluación. Si los hosts muestran un nombre el cual no se reconoce, se debe investigar más profundamente para evitar escanear la red incorrecta.

Existen muchas razones por las cuales los rangos de direcciones IP pueden ser incorrectas. Incluso los administradores de la red pueden escribir erróneamente sus propios bloques de red, y se los proporciona así a los profesionales en pruebas de penetración y hacking ético. En otros casos, se intenta encontrar los rangos de direcciones IP adecuados a través de recursos como bases de datos Whois y tablas par encaminamiento. Las bases de datos pueden estar desactualizadas, o la compañía puede prestar el espacio de direcciones IP a otras organizaciones. Por lo tanto la posibilidad de escanear socios corporativos, proveedores de servicio, y subsidiarias, es un tema importante el cual debe coordinarse por adelantado. Un escaneo de Lista preliminar ayuda a confirmar exactamente cuales hosts se están escaneando.

Otra razón para un Escaneo de Lista es su sigilo. En algunos casos no se desea iniciar con un asalto a gran escala sobre la red, la cual activará alertas y atraerá una atención no requerida. Un escaneo de Lista es discreto y proporciona información útil para seleccionar cuales máquina escanear. Es posible aunque poco probable, aquello en evaluación note todas las consultas DNS reversas. Cuando esto sea una preocupación, se puede rebotar a través de servidores DNS recursivos utilizando la opción “--dns-servers” de Nmap.

Se procede a ejecutar el Escaneo de Lista utilizando la opción “-sL”

$ sudo nmap -sL 158.c .x. x/24

Dado la idea es simplemente imprimir una lista de los hosts a evaluar, las opciones con alto nivel de funcionalidad, como el escaneo de puertos, detección del sistema operativo, o escaneo ping, no pueden ser combinados con la opción “-sL”. Si se requiere deshabilitar el escaneo ping mientras aún se realiza tal funcionalidad de nivel superior, revisar sobre la opción “-Pn” de Nmap.

Como se visualiza, se obtienen nombres de dominio a partir de las direcciones IP del rango definido.

Fuentes:

https://nmap.org/book/host-discovery-controls.html
https://en.wikipedia.org/wiki/Reverse_DNS_lookup
https://www.ietf.org/rfc/rfc1912.txt

Una consulta DNS reversa es una técnica de consulta para el Sistema de Nombres de Dominio (DNS), con el propósito de determinar el nombre de dominio asociado con una dirección IP. Es decir lo reverso a lo usual, lo cual es obtener la dirección IP desde un nombre de dominio. La resolución reversa de una dirección IP utiliza registros PTR. Implica la búsqueda de registros para nombres de dominio y tablas de registradores.

Esto puede ser utilizado para intentar identificar el origen de un nombre de dominio para rastrear por ejemplo, a un spammer enviando correo no deseado, o el nombre de dominio de una computadora intentando irrumpir un firewall, o a alguien intentando acceder de manera no autorizada hacia un sistema o red. También puede ser utilizado para determinar el nombre del proveedor de servicio de Internet asignado hacia una dirección IP en particular. La base de datos DNS reversa de Internet tiene sus orígenes en el dominio de nivel superior “.arpa”

DNSRecon es una herramienta escrita en Python, el cual se diseñó con el propósito de extender la funcionalidad de la herramienta original, además de conocer como funciona DNS, y como esto puede ser utilizado en el proceso de una evaluación de seguridad o resolución para problemas en red.

Se ejecuta la herramienta DNSRecon con la opción “-h”, para visualizar sus principales opciones

$ sudo dnsrecon -h

Se ejecuta la herramienta DNSRecon sobre un rango de direcciones IP, para obtener los nombres de dominio.

$ sudo dnsrecon -r 158. x. x. 20-158.x .x. 80 -d a****.com

La opción “-r” define el rango de direcciones IP para realizar fuerza bruta de consultar reversas, en los formatos (primero-último) o (rango/mascaradered).

La opción “-d” define el dominio a evaluar.

Como es factible visualizar, se obtiene un extenso listado de nombres de dominios.

Fuentes:

https://github.com/darkoperator/dnsrecon
https://en.wikipedia.org/wiki/Reverse_DNS_lookup
https://www.ietf.org/rfc/rfc1912.txt

La Inteligencia desde Fuentes Abiertas (Open Source INTelligence), tiene tres formas; pasiva, semipasiva y activa.

Recolección Pasiva de Información:

Generalmente es solo útil si existe un muy claro requerimiento sobre las actividades para la recolección de información, nunca deben ser detectados por la infraestructura en evaluación. Este tipo de perfilamiento es técnicamente difícil de realizar, pues nunca se enviará ningún tipo de tráfico hacia la organización en evaluación, ni desde alguno de nuestros hosts o hosts “anónimos”, o servicios a través de Internet. Esto significa únicamente se utiliza y obtiene información de archivo o almacenada. Como tal esta información puede estar desactualizada o ser incorrecta, pues se está limitado a los resultados obtenidos desde terceros.

Recolección Semipasiva de Información:

La meta es perfilar la infraestructura con métodos los cuales parecerían tráfico o comportamiento normal de Internet. Se consultan únicamente los servidores de nombres publicados, no se realizan consultas reversas profundas, o peticiones de fuerza bruta contra la DNS, no se busca por servidores o directorios “no publicados”. No se ejecutan escaneos de puertos o crawling a nivel de red o, únicamente se busca por metadatos en documentos o archivos publicados; no se busca activamente por contenido oculto. La clave aquí es no llamar la atención sobre nuestras actividades. La infraestructura puede ir hacia atrás y descubrir las actividades de reconocimiento realizadas, pero no debería poder atribuirlas a nadie.

Recolección Activa de Información:

Debería ser detectada por la infraestructura en evaluación, además del comportamiento sospechoso y malicioso. Durante esta etapa se crea activamente un mapa de red sobre la infraestructura (pensar en escaneos de puertos completos “1-65535”), activamente enumerando y/o escaneando vulnerabilidades en los servicios abiertos, se busca activamente por directorios no publicados, archivos, y servidores. Mucha de esta actividad cae dentro de las actividades típicas de “reconocimiento” o “escaneo” en una prueba de penetración estándar.

Fuente:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#OSINT
https://en.wikipedia.org/wiki/Open-source_intelligence

Identificar y Nombrar el Destino

Cuando se aproxima hacia la organización a evaluar, es importante entender la compañía puede tener diversos dominios de nivel superior (TDL), y empresas auxiliares. Aunque esta información debería haber sido descubierta durante la etapa del alcance, no es inusual identificar dominios con servidores adicionales, además de compañías las cuales no hayan sido parte del alcance inicial. Por ejemplo una compañía puede tener un TDL .com. Sin embargo también podría tener .net .co y .xxx. De cualquier manera estas necesitan ser clarificadas con el cliente antes de empezar las pruebas. Es también común para una empresa tener diversas subcompañías debajo. Por ejemplo General Electric y Procter and Gamble tienen una gran cantidad de empresas más pequeñas

Considerar cualquier Regla sobre Limites del Contrato

En este punto es una buena idea revisar las Reglas del Contrato. Es común estos se olviden durante una prueba. Algunas veces como profesionales en Hacking Ético y Pruebas de Penetración, nos sumergimos tanto en lo encontrado, además de las posibilidades para un ataque, lo cual hace olvidar cuales direcciones IP, dominios, y redes son factibles de atacar. Siempre se debe referenciar hacia las Reglas del Contrato para mantener las pruebas enfocadas. Estaono solo es importante desde la perspectiva legal, sino también es importante desde la perspectiva del alcance. Cada vez se desvía de las metas centrales de las pruebas, esto consume tiempo. Y consecuentemente esto puede costarle dinero a la empresa.

Considerar la Duración para las Pruebas

La cantidad de tiempo para toda la prueba directamente impactará en la cantidad de Captura Inteligencia realizada. Existen algunas pruebas donde el tiempo total es de dos hasta tres meses. En estos contratos una compañía podría invertir una tremenda cantidad de tiempo buscando en cada una de las unidades de la empresa, además del personal de la compañía. Sin embargo para pruebas de estilo caja de cristal, las metas pueden ser más tácticas. Por ejemplo probar una aplicación web específica puede no requerir investigar los registros financieros del CEO de la compañía.

Considerar la Meta Final de la Prueba

Cada prueba tiene una meta final en mente, un activo o proceso particular la cual la organización considera crítica. Teniendo en consideración el resultado final en mente, la etapa para la captura de inteligencia debe asegurarse de incluir todos los elementos secundarios y terciarios alrededor de la meta final. Ya sean tecnologías de soporte, terceras entidades, personal relevante, etc. Asegurarse el enfoque se mantenga sobre los activos críticos, asegura los elementos menos relevantes para inteligencia no sean priorizados y categorizados como tales, para no intervengan en el proceso de análisis.

Fuentes:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#Target…
https://www.icann.org/resources/pages/tlds-2012-02-25-en

¿Qué es?

La Captura de Inteligencia implica realizar un reconocimiento contra aquello en evaluación, con el propósito de obtener tanta información como sea posible, la cual será luego utilizada cuando se penetre durante las fases correspondientes a la evaluación de vulnerabilidades y explotación. Cuanta más información se capture durante esta etapa, más vectores de ataque factibles de ser utilizados en el futuro.

La Inteligencia de Fuente Abierta (OSINT), es una forma de gestión para la recolección de inteligencia, la cual involucra encontrar, seleccionar, y adquirir información desde fuentes públicamente disponibles, para luego analizarlas y producir inteligencia accionable.

¿Porqué hacerlo?

Se realiza captura de Inteligencia de Fuente Abierta para determinar varios puntos de entrada hacia una organización. Estos puntos de entrada pueden ser físicos, electrónicos, y/o humanos. Muchas compañías fallan al tomar en consideración cual información sobre si mismos está publicado, y como esta información puede ser utilizada por un determinado atacante.

Muchos empleados fallan también al considerar cual información sobre si mismos es pública, y como esta información puede ser utilizado para atacarlos, o a su empleador.

¿Que no es?

OSINT podría no ser tan preciso u oportuno. Las fuentes de información pueden manipularse deliberadamente o accidentalmente para reflejar datos erróneos, la información puede estar obsoleta con el tiempo, o simplemente está incompleta.

No incluye el bucear en la basura, o cualquier método para obtener información de la compañía, a partir de artículos físicos encontrados en sus instalaciones.

Fuentes:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#Intell…
https://en.wikipedia.org/wiki/Open-source_intelligence

Los niveles son un concepto importante como un todo. Es un modelo de madurez para pruebas de penetración. El definir los niveles permite clarificar la salida esperada y actividades dentro de ciertas limitaciones del mundo real, como el tiempo, esfuerzo, acceso hacia información, etc.

Los niveles para la Captura de Inteligencia actualmente se dividen en tres categorías, y se proporciona un ejemplo típico para cada una. Estas podría guiar la adición de técnicas. Por ejemplo, una actividad intensiva como crear un perfil de facebook y analizar una red social, es apropiado en casos más avanzados, y debería ser etiquetado dentro del nivel apropiado.

Captura de Información Nivel 1

(Pensar: Conducido por Cumplimiento). Principalmente es un proceso para captura de información mediante el clic de un botón. Este nivel de información puede ser obtenido casi enteramente por herramientas automáticas. Es lo mínimo para decir se realizó captura de inteligencia para una prueba de penetración.

Se requiere la Corporación Acme cumpla con PCI / FISMA / HIPPA. Un esfuerzo para captura de información debe ser el apropiado para cumplir con los requerimientos del cumplimiento.

Captura de Información Nivel 2

(Pensar: Conducido por Buenas Prácticas) Este nivel puede ser creado utilizando las herramientas automáticas del nivel 1, además de algún análisis manual. Una buena comprensión de la empresa, incluyendo información como ubicación física, relaciones de la empresa, diagrama de la organización, etc.

Se requiere la empresa Widgets cumpla con PCI, pero está interesada en una estrategia para seguridad a largo plazo, y está adquiriendo varios fabricantes de Widgets más pequeños. Un esfuerzo para captura de información de nivel 2 debe ser el apropiado para cumplir sus requerimientos.

Captura de Información Nivel 3

(Pensar: Patrocinado por el Estado) Pruebas de penetración más avanzadas, equipo rojo, alcance completo. Toda la información del nivel 1 y nivel 2, además de mucho análisis manual. Pensar en cultivar relaciones en SocNet, análisis riguroso, profundo conocimiento sobre las relaciones de la empresa, muy probablemente una gran cantidad de horas para cumplir la captura y correlación.

Un Equipo Rojo de un ejército tiene la tarea de analizar y atacar un segmento de la red en un país extranjero, para encontrar debilidades las cuales podrían ser explotadas por un ciudadano extranjero. Un esfuerzo para captura de información de nivel 3 debe ser el apropiado para este caso.

Fuentes:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#General
http://www.socnet.com/

Las buenas pruebas de penetración no simplemente verifican por cuales sistemas no tienen aplicados los parches. También prueban las capacidades de la organización en evaluación. Con este propósito, se presente a continuación un listado de elementos a comparar durante las pruebas.

• Capacidad para detectar y responder a la captura de información
• Capacidad para detectar y responder a la obtención de huellas
• Capacidad para detectar y responder a los escaneos y análisis de vulnerabilidades
• Capacidad para detectar y responder a infiltración (ataques)
• Capacidad para detectar y responder a la agregación de datos
• Capacidad para detectar y responder a la exfiltración de datos

Cuando se rastrea esta información, se debe asegurar de recolectar información sobre el tiempo. Por ejemplo si un escaneo es detectado, se debe notificar y anotar cual nivel de escanea se estaba realizando en ese momento.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Capabilities_a…

Mientras el alcance define aquello lo cual se evaluará, las reglas del contrato definen como se realizarán las pruebas. Estos son dos aspectos diferentes los cuales necesitan ser manejados independientemente el uno del otro.

Cronología

Debe ser establecida una clara cronología para el contrato. Mientras el alcance define el inicio y final del contrato, las reglas del mismo definen todo lo cual existe en el medio. Debe entenderse la cronología podría cambiar conforme progrese la evaluación. Sin embargo tener una cronología rígida no es la meta de crear una. En lugar de esto, el tener una cronología implementada para el inicio de la prueba, permitirá todos los involucrados identifiquen más claramente el trabajo a realizar y quienes serán las personas responsables del mencionado trabajo. Los diagramas de GANTT y estructuras para el Desglose del Trabajo, son frecuentemente utilizados para definir el trabajo, y la cantidad de tiempo para cada elemento específico invertido en el trabajo. Ver el cronograma dividido de esta manera ayuda a aquellos involucrados a identificar donde los recursos necesitan ser aplicados, además ayudan al cliente a identificar muchos de los posibles obstáculos los cuales son encontrados durante las pruebas.

Existen un número de herramientas gratuitas disponibles en Internet para gráficos GANTT. Muchos gerentes se identifican cercanamente con estas herramientas. Debido a esto son un medio excelente para comunicarse con la alta gerencia de la organización en evaluación.

Ubicaciones

Otro parámetro importante de cualquier contrato es establecer anticipadamente con el cliente, los destinos hacia los cuales los profesionales necesitarán viajar durante las pruebas. Esto podría ser tan simple como identificar hoteles, o algo complejo como identificar las leyes aplicables a un país específico.

Es frecuente una organización opere en múltiples ubicaciones y regiones, además será necesario elegir algunos sitios seleccionados para las pruebas. En estas situaciones se debe evitar viajar hacia todas las ubicaciones del cliente, en lugar de esto se debería determinar si están disponibles conexiones VPN hacia los sitios para realizar las pruebas remotamente.

Exposición de Información Sensible

Mientras una de las metas de un contrato puede ser ganar acceso hacia información sensible, cierta información no debería ser visualizada o descargada. Esto parecería extraño para los nuevos profesionales, sin embargo existen un número de situaciones donde los profesionales no deberían tener los datos en su posesión. Por ejemplo PHI (Personal Health Information), bajo el Acta HIPPA, estos datos deben ser protegidos. En algunas situaciones los sistemas pueden no tener un firewall o antivirus protegiéndolos. En este tipo de situación, se debe evitar absolutamente los profesionales estén en posesión de cualquier Información para la Identificación Personal (PII).

Sin embargo, si los datos no pueden ser obtenidos físicamente o virtualmente; ¿Cómo se puede probar los profesionales obtuvieron acceso hacia la información?. Este problema ha sido resuelto de diferentes maneras. Existen maneras de probar las puertas de las bóvedas han sido abiertas sin tomar el dinero. Por ejemplo una captura de pantalla del esquema de la base de datos y los permisos del archivo, o los archivos por si mismos pueden ser mostrados sin abrirlos, siempre no exista PII visible en los nombres de archivos por si mismo.
Cuan cuidadosos deben ser los profesionales en un contrato, es un parámetro el cual necesita ser discutido con el cliente, pero la firma haciendo las pruebas debe siempre asegurarse de protegerse en un sentido legal independiente de la opinión del cliente. Más allá de las supuesta exposición de datos sensibles, todas las plantillas de reporte, las máquinas para las pruebas, deben limpiarse después de cada contrato. Como una anotación especial, si datos ilegales (como explotación infantil) es descubierto por los profesionales, los oficiales encargados de hacer cumplir la ley deben ser notificados inmediatamente, seguido por el cliente. No seguir las instrucciones del cliente.

Manejo de Evidencia

Cuando se maneja evidencia de una prueba y las diferentes etapas del reporte, es increíblemente importante tener mucho cuidado con los datos. Siempre utilizar encriptación y limpiar las máquinas entre las pruebas. Nunca entregar memorias USB con los reportes de las pruebas en conferencias sobre seguridad. Y nunca reutilizar los reportes correspondientes a la evaluación de un cliente como una plantilla. Es poco profesional dejar referencia hacia otra organización en el documento.

Reuniones Regulares sobre el Estado

A través del proceso de pruebas es crítico tener reuniones regulares con el cliente, para informarle sobre el progreso global de la prueba. Estas reuniones deben realizarse diariamente, y deben ser tan cortas como sea posible. Las reuniones deben limitarse a tres conceptos; avances, progreso, y problemas.

Los planes son generalmente discutidos de tal manera las pruebas no sean realizadas durante un cambio importante o una interrupción. El progreso es simplemente una actualización hacia el cliente sobre aquello completado. Los problemas deben ser también discutidos en la reunión, pero en el interés de la brevedad, las conversaciones concernientes a las soluciones casi siempre deben mantenerse fuera de linea.

Hora del Día para Probar

Algunos clientes requieren todas las pruebas sean realizadas fuera de los horarios comerciales. Esto puede significar hasta altas horas de la noche para muchos profesionales. Los requerimientos para la hora del día deben ser bien establecidos con el cliente antes de iniciar las pruebas.

Lidiar con los Rechazos

Existen algunos momentos donde el rechazo es perfectamente aceptable, y existen momentos donde esto podría no encajar con el espíritu de las pruebas. Por ejemplo si la prueba es de tipo caja negra, donde se está probando no solo la tecnología, sino también las capacidades del equipo de seguridad de la organización, el rechazo podría estar perfectamente bien. Sin embargo, cuando se está evaluando un gran número de sistemas en coordinación con un gran equipo de seguridad en la organización, puede no ser lo mejor para las pruebas rechazar los ataques.

Permiso para la Prueba

Uno de los documentos más importantes necesarios de ser obtenidos para una prueba de penetración, es el documento con el permiso para la prueba. Este documento establece el alcance, además contiene una firma la cual reconoce el conocimiento sobre las actividades de los profesionales. Además debe establecer claramente las pruebas pueden conducir hacia la inestabilidad del sistema, además de todo el cuidado será aplicado por el profesional para no afectar los sistemas en el proceso. Sin embargo las pruebas pueden conducir a la inestabilidad, el cliente no responsabilizará al profesional por cualquier inestabilidad o falla del sistema. Es critico las pruebas no empiezan hasta este documento sea firmado por el cliente.

Además algunos proveedores de servicio requiere un aviso o permiso por adelantado, antes de probar sus sistemas. Si esto es requerido debe formar parte del documento.

Consideraciones Legales

Algunas actividades comunes en las pruebas de penetración pueden violar las leyes locales. Por esta razón se sugiere verificar la legalidad de las tareas habituales de la prueba de penetración, en la localización donde el trabajo será realizado. Por ejemplo las llamadas VoIP capturadas en el transcurso de una prueba de penetración, pueden ser consideradas como escuchas telefónicas en algunas áreas.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Rules_of_Engag…
https://en.wikipedia.org/wiki/Gantt_chart
https://www.cdc.gov/phlp/publications/topic/hipaa.html