Dokumentation11.3. Formalisierung der Bewertung
Wenn Ihre Kali-Umgebung bereit ist und die Art der Bewertung definiert ist, können Sie fast mit der Arbeit beginnen. Ihr letzter Schritt besteht darin, die zu erledigende Arbeit zu formalisieren. Dies ist von entscheidender Bedeutung, da hierdurch definiert wird, welche Erwartungen an die Arbeit gestellt werden, und Ihnen die Erlaubnis erteilt wird, möglicherweise illegale Aktivitäten durchzuführen. Wir werden dies ausführlich behandeln, aber es handelt sich dabei um einen sehr komplexen und wichtigen Schritt, sodass Sie sich wahrscheinlich an den Rechtsvertreter Ihrer Organisation wenden sollten, um Unterstützung zu erhalten.
Im Rahmen des Formalisierungsprozesses müssen Sie die Einsatzregeln für die Arbeit definieren. Dies umfasst Artikel wie:
• Mit welchen Systemen dürfen Sie interagieren? Es ist wichtig sicherzustellen, dass Sie nicht versehentlich in Dinge eingreifen, die für den Geschäftsbetrieb von entscheidender Bedeutung sind.
• Zu welcher Tageszeit und in welchem Angriffsfenster darf die Bewertung erfolgen? Einige Organisationen begrenzen gerne die Zeiten, in denen die Bewertungsarbeiten durchgeführt werden können.
• Wenn Sie eine potenzielle Schwachstelle entdecken, dürfen Sie diese ausnutzen? Wenn nicht, wie läuft das Genehmigungsverfahren ab? Es gibt Organisationen, die bei jedem Ausbeutungsversuch einen sehr kontrollierten Ansatz verfolgen, während andere einen realistischeren Ansatz bevorzugen. Es ist am besten, diese Erwartungen vor Beginn der Arbeit klar zu definieren.
• Wenn ein erhebliches Problem entdeckt wird, wie sollte damit umgegangen werden? Manchmal möchten Organisationen sofort informiert werden, andernfalls wird das Problem normalerweise am Ende der Bewertung angesprochen.
• An wen sollten Sie sich im Notfall wenden? Es ist immer wichtig zu wissen, an wen man sich wenden kann, wenn ein Problem jeglicher Art auftritt.
• Wer erfährt von der Aktivität? Wie wird es ihnen mitgeteilt? In einigen Fällen möchten Organisationen im Rahmen der Bewertung ihre Leistung bei der Reaktion auf Vorfälle und bei der Erkennung testen. Es ist immer eine gute Idee, dies im Voraus zu wissen, damit Sie wissen, ob Sie bei der Beurteilung ein gewisses Maß an Heimlichkeit an den Tag legen sollten.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• Was sind die Erwartungen am Ende der Beurteilung? Wie werden die Ergebnisse kommuniziert? Erfahren Sie, was alle Parteien am Ende der Bewertung erwarten. Die Definition des Liefergegenstands ist der beste Weg, um alle nach Abschluss der Arbeit zufrieden zu stellen.
Diese Auflistung ist zwar nicht vollständig, gibt Ihnen aber eine Vorstellung von den Details, die abgedeckt werden sollten. Sie sollten sich jedoch darüber im Klaren sein, dass es keinen Ersatz für eine gute rechtliche Vertretung gibt. Sobald diese Punkte definiert sind, müssen Sie die entsprechende Genehmigung zur Durchführung der Bewertung einholen, da viele der Aktivitäten, die Sie im Rahmen einer Bewertung ausführen, ohne die entsprechende Genehmigung einer Person mit der Befugnis zur Erteilung dieser Genehmigung möglicherweise nicht legal sind.
Nachdem dies alles erledigt ist, sollten Sie vor Arbeitsbeginn noch einen letzten Schritt unternehmen: die Validierung. Vertrauen Sie niemals dem Umfang, der Ihnen bereitgestellt wird – validieren Sie ihn immer. Nutzen Sie mehrere Informationsquellen, um zu bestätigen, dass die Systeme im Geltungsbereich tatsächlich Eigentum des Kunden sind und dass sie auch vom Kunden betrieben werden. Mit der Verbreitung von Cloud-Diensten kann es passieren, dass ein Unternehmen vergisst, dass ihm die Systeme, die seine Dienste bereitstellen, nicht wirklich gehören. Möglicherweise müssen Sie vor Arbeitsbeginn eine Sondergenehmigung eines Cloud-Dienstanbieters einholen. Überprüfen Sie außerdem immer IP-Adressblöcke. Verlassen Sie sich nicht darauf, dass ein Unternehmen davon ausgeht, dass es Eigentümer ganzer IP-Blöcke ist, selbst wenn es diese als realisierbare Ziele absieht. Wir haben beispielsweise Beispiele von Organisationen gesehen, die eine Bewertung eines gesamten Klasse-C-Netzwerkbereichs anfordern, obwohl sie tatsächlich nur einen Teil dieser Adressen besaßen. Durch den Angriff auf den gesamten Klasse-C-Adressraum hätten wir letztlich auch die Netzwerknachbarn der Organisation angegriffen. Der OSINT-Analyse Unterkategorie der Informationsbeschaffung Das Menü enthält eine Reihe von Tools, die Sie bei diesem Validierungsprozess unterstützen können.