Comments on: Pen-test by Adobe or Office http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Tue, 31 Aug 2010 00:49:21 +0000 hourly 1 http://wordpress.org/?v=3.0.1 By: Ulisses Castro Security Labs » Blog Archive » Windows Command Line for Pentesters http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-1009 Ulisses Castro Security Labs » Blog Archive » Windows Command Line for Pentesters Thu, 04 Mar 2010 23:22:58 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-1009 [...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1009','Ulisses Castro Security Labs » Blog Archive » Windows Command Line for Pentesters'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1009','Ulisses Castro Security Labs » Blog Archive » Windows Command Line for Pentesters','[...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]'); return false;">Quote</a></div> [...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]
ReplyQuote
]]> By: rafael http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-678 rafael Wed, 06 May 2009 12:30:47 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-678 Acredito que seja valido com certeza o "client side" de toda forma e um ponto de falha tremendo, caso nao tenha uma politica de patch! Nao acho uma "pratica horribleee" my 2 cents.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('678','rafael'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('678','rafael','Acredito que seja valido com certeza o \"client side\"\r\nde toda forma e um ponto de falha tremendo, caso nao tenha uma politica de patch!\r\nNao acho uma \"pratica horribleee\"\r\nmy 2 cents.'); return false;">Quote</a></div> Acredito que seja valido com certeza o “client side”
de toda forma e um ponto de falha tremendo, caso nao tenha uma politica de patch!
Nao acho uma “pratica horribleee”
my 2 cents.
ReplyQuote
]]> By: Windows Command Line for Pentesters « Ulisses Castro Labs - Ethical Hacking and Security Research http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-580 Windows Command Line for Pentesters « Ulisses Castro Labs - Ethical Hacking and Security Research Mon, 08 Dec 2008 04:09:15 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-580 [...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('580','Windows Command Line for Pentesters « Ulisses Castro Labs - Ethical Hacking and Security Research'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('580','Windows Command Line for Pentesters « Ulisses Castro Labs - Ethical Hacking and Security Research','[...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]'); return false;">Quote</a></div> [...] “client-side” ou através de execução remota de comandos (MS08-067), ou até mesmo enviando arquivos maliciosos por exemplo, a Microsoft disponibiliza praticamente tudo o que se precisa para sobreviver somente [...]
ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-527 Elias Wagner Thu, 27 Nov 2008 15:39:11 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-527 Realmente uma análise de vulnerabilidade completa considerando os insiders deve ser feita, tem toda razão.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('527','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('527','Elias Wagner','Realmente uma análise de vulnerabilidade completa considerando os insiders deve ser feita, tem toda razão.'); return false;">Quote</a></div> Realmente uma análise de vulnerabilidade completa considerando os insiders deve ser feita, tem toda razão.
ReplyQuote
]]> By: Augusto Paes de Barros http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-526 Augusto Paes de Barros Thu, 27 Nov 2008 14:54:36 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-526 Sim, tem muito FUD. Mas IMHO acho a capacidade de se identificar e se proteger contra um invasor já dentro da rede algo tão importante quanto testar o perímetro. Testando apenas o perímetro você praticamente descarta a ameaça interna.

E, mesmo com o teste sendo corretamente vendido há uma chance enorme dos resultados serem mal interpretados (não apenas por quem contratou mas pelos outros executivos). É a velha história do “aqueles caras que a gente contratou não conseguiram entrar, a gente não precisa fazer mais nada”.

Se não for testar com trojan, pelo menos um teste interno deve ser feito junto!

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-525 Elias Wagner Thu, 27 Nov 2008 14:48:34 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-525 Augusto, sim este tipo de teste pode ser usado, mas nunca vai ser um pen-test IMHO. Quanto ao pen-test passar uma falsa sensação de segurança eu discordo, pois ele nunca é vendido como se fosse a máxima de testes de controles (pelo menos não deveria ser vendido assim). Um pen-test na maioria das vezes vai testar os controles de perímetro e pode se estender a testes como mencionados por você e pelo Cima, mas não vai substituir uma análise de vulnerabilidade completa em todos os controles. O ponto que quero destacar é, estas empresas que usam desta técnica estão fazendo FUD e usando os arquivos maliciosos para ganhar acesso e não como teste de patch management e conscientização. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('525','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('525','Elias Wagner','Augusto,\r\n\r\nsim este tipo de teste pode ser usado, mas nunca vai ser um pen-test IMHO.\r\n\r\nQuanto ao pen-test passar uma falsa sensação de segurança eu discordo, pois ele nunca é vendido como se fosse a máxima de testes de controles (pelo menos não deveria ser vendido assim). Um pen-test na maioria das vezes vai testar os controles de perímetro e pode se estender a testes como mencionados por você e pelo Cima, mas não vai substituir uma análise de vulnerabilidade completa em todos os controles.\r\n\r\nO ponto que quero destacar é, estas empresas que usam desta técnica estão fazendo FUD e usando os arquivos maliciosos para ganhar acesso e não como teste de patch management e conscientização.\r\n\r\nAbs.'); return false;">Quote</a></div> Augusto,

sim este tipo de teste pode ser usado, mas nunca vai ser um pen-test IMHO.

Quanto ao pen-test passar uma falsa sensação de segurança eu discordo, pois ele nunca é vendido como se fosse a máxima de testes de controles (pelo menos não deveria ser vendido assim). Um pen-test na maioria das vezes vai testar os controles de perímetro e pode se estender a testes como mencionados por você e pelo Cima, mas não vai substituir uma análise de vulnerabilidade completa em todos os controles.

O ponto que quero destacar é, estas empresas que usam desta técnica estão fazendo FUD e usando os arquivos maliciosos para ganhar acesso e não como teste de patch management e conscientização.

Abs.

ReplyQuote
]]> By: Augusto Paes de Barros http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-524 Augusto Paes de Barros Thu, 27 Nov 2008 14:40:06 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-524 Wagner, até já sei quem é ;-) Mas o Cima está correto, a abordagem testa controles sim. Desde o patch management para esses produtos até a capacidade de detecção e proteção contra atacantes "pseudo-internos". Sem dúvida tem o seu valor. Dito isso, é importante que a empresa seja clara com o cliente sobre o que está testando. Usar uma abordagem que funciona contra 9 em 10 organizações e chegar no cara e dizer "sua segurança é uma piada" não é completamente honesto. Uma abordagem mais adequada seria fazer os dois tipos de teste, pelo perímetro e pela "engenharia trojan-social", e mostrar os resultados de forma balanceada. Afinal de contas, o resultado de um pentest que só testa o perímetro pode dar ao cliente a falsa sensação de segurança, já que ele pode imaginar que todos os pontos de entrada foram testados.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('524','Augusto Paes de Barros'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('524','Augusto Paes de Barros','Wagner, até já sei quem é ;-)\r\n\r\nMas o Cima está correto, a abordagem testa controles sim. Desde o patch management para esses produtos até a capacidade de detecção e proteção contra atacantes \"pseudo-internos\". Sem dúvida tem o seu valor.\r\n\r\nDito isso, é importante que a empresa seja clara com o cliente sobre o que está testando. Usar uma abordagem que funciona contra 9 em 10 organizações e chegar no cara e dizer \"sua segurança é uma piada\" não é completamente honesto. Uma abordagem mais adequada seria fazer os dois tipos de teste, pelo perímetro e pela \"engenharia trojan-social\", e mostrar os resultados de forma balanceada. Afinal de contas, o resultado de um pentest que só testa o perímetro pode dar ao cliente a falsa sensação de segurança, já que ele pode imaginar que todos os pontos de entrada foram testados.'); return false;">Quote</a></div> Wagner, até já sei quem é ;-)

Mas o Cima está correto, a abordagem testa controles sim. Desde o patch management para esses produtos até a capacidade de detecção e proteção contra atacantes “pseudo-internos”. Sem dúvida tem o seu valor.

Dito isso, é importante que a empresa seja clara com o cliente sobre o que está testando. Usar uma abordagem que funciona contra 9 em 10 organizações e chegar no cara e dizer “sua segurança é uma piada” não é completamente honesto. Uma abordagem mais adequada seria fazer os dois tipos de teste, pelo perímetro e pela “engenharia trojan-social”, e mostrar os resultados de forma balanceada. Afinal de contas, o resultado de um pentest que só testa o perímetro pode dar ao cliente a falsa sensação de segurança, já que ele pode imaginar que todos os pontos de entrada foram testados.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-521 Elias Wagner Thu, 27 Nov 2008 13:09:07 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-521 Oi Cima, sim você está testando um controle. Agora todos os outros que um pen-test pode testar? Uma coisa é uma coisa, outra coisa é outra coisa...rs...<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('521','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('521','Elias Wagner','Oi Cima,\r\n\r\nsim você está testando um controle. Agora todos os outros que um pen-test pode testar?\r\n\r\nUma coisa é uma coisa, outra coisa é outra coisa...rs...'); return false;">Quote</a></div> Oi Cima,

sim você está testando um controle. Agora todos os outros que um pen-test pode testar?

Uma coisa é uma coisa, outra coisa é outra coisa…rs…

ReplyQuote
]]> By: Fernando Cima http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-520 Fernando Cima Thu, 27 Nov 2008 12:54:35 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-520 Um controle pelo menos você está testando - se seu patch management para o Acrobat Reader e para o Microsoft Office está funcionando. Para mim parece válido.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('520','Fernando Cima'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('520','Fernando Cima','Um controle pelo menos você está testando - se seu patch management para o Acrobat Reader e para o Microsoft Office está funcionando. Para mim parece válido.'); return false;">Quote</a></div> Um controle pelo menos você está testando – se seu patch management para o Acrobat Reader e para o Microsoft Office está funcionando. Para mim parece válido.
ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/comment-page-1/#comment-519 Ulisses Castro Thu, 27 Nov 2008 01:53:39 +0000 http://wagnerelias.com/2008/11/26/pen-test-by-adobe-or-office/#comment-519 Sinceramente acredito que isso não possa e nem deve ser utilizado em um pentest, não é coisa que se apresente em um relatório de pentest a não ser que esteja no escopo do mesmo testar a inteligência da tia do RH. Mas de qualquer forma isso existe (e funciona! testei ambos), e com certeza será usado por pessoas mal intencionadas para fazer uma intrusão... importante citar também que isso não é uma técnica NOVA, e sim uma evolucao passando de arquivos executáveis com suas assinaturas embralhadas com objetivo de passar por AV's para arquivos pdf e doc/xls(esses tb são antigos) .. Excelente alerta Wagner, a imagem ficou FERA! :) abraços!<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('519','Ulisses Castro'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('519','Ulisses Castro','Sinceramente acredito que isso não possa e nem deve ser utilizado em um pentest, não é coisa que se apresente em um relatório de pentest a não ser que esteja no escopo do mesmo testar a inteligência da tia do RH.\r\nMas de qualquer forma isso existe (e funciona! testei ambos), e com certeza será usado por pessoas mal intencionadas para fazer uma intrusão... importante citar também que isso não é uma técnica NOVA, e sim uma evolucao passando de arquivos executáveis com suas assinaturas embralhadas com objetivo de passar por AV\'s para arquivos pdf e doc\/xls(esses tb são antigos) ..\r\nExcelente alerta Wagner, a imagem ficou FERA! :)\r\n\r\nabraços!'); return false;">Quote</a></div> Sinceramente acredito que isso não possa e nem deve ser utilizado em um pentest, não é coisa que se apresente em um relatório de pentest a não ser que esteja no escopo do mesmo testar a inteligência da tia do RH.
Mas de qualquer forma isso existe (e funciona! testei ambos), e com certeza será usado por pessoas mal intencionadas para fazer uma intrusão… importante citar também que isso não é uma técnica NOVA, e sim uma evolucao passando de arquivos executáveis com suas assinaturas embralhadas com objetivo de passar por AV’s para arquivos pdf e doc/xls(esses tb são antigos) ..
Excelente alerta Wagner, a imagem ficou FERA! :)

abraços!

ReplyQuote
]]>