Assolutamente niente di personale, e mi dispiace aver dato questa impressione.
Fare un penetration test non si limita a lanciare nmap, openvas/nessus e metasploit su una vulnerabilita'. Un penetration test "completo" coinvolge attivita' piu' approfondite su ogni campo. Saro' piu' specifico nel commento. - informazioni sul target si ottengono non solo da nmap e openvas ma da qualsiasi fonte possibile (google?), e si cerca di enumerare qualsiasi tipo di informazione, sia tecnica che non (business, amministrative, ecc). - metasploit e' usato ma non sempre. Spesso i pentest si fanno a macchine patchate, e trovare una vuln che ha l'exploit in metasploit e' raro. Certo puoi trovare tu la vuln e scrivere l'exploit usando metasploit, ma nell'articolo questo scenario non e' contemplato - e va bene cosi', dato che comunque nei "normali" pentest si ha a stento il tempo di finire l'attivita', figuriamoci se si ha tempo di scrivere un exploit. - spesso nei pentest si analizzano tante altre cose a livello tecnico e non: da password o configurazioni deboli, a codice sorgente, fino ad arrivare all'analisi di policy ed inenernza ad industry standard. - mantenere l'accesso durante un penetration test non e' una cosa che si fa, anche perche' se inizi a piantare backdoor nelle macchine dei clienti non li fai proprio felici. - hai dedicato solo una minima parte al reporting, che probabilmente e' una delle cose piu' importanti nelle attivita' di pentesting. Se trovi o non trovi qualcosa, quello che resta al cliente e' il tuo report, ed e' importante che sia il piu' comprensivo possibile. L'articolo di per se magari non e' tagliato per lo script kiddie, ma sicuramente non documenta una simulazione reale di un penetration test. Se quella che documenti e' una vera simulazione di un penetration test allora chiunque con la minima conoscenza di un computer potrebbe farlo come lavoro. Tenendo il contenuto intatto, un titolo piu' appropriato potrebbe essere stato "I tool open-source piu' famosi per un attacco informatico" o qualcosa sul tema. Saluti, Gerardo From: Andrea Draghetti [mailto:dreg...@draghetti.it] Sent: Monday, January 14, 2013 1:54 PM To: ml@sikurezza.org Cc: Gerardo Di Giacomo Subject: Re: [ml] Simulazione di un Penetration Test Il 13/01/13 22:50, Gerardo Di Giacomo ha scritto: Piu' che una simulazione di un penetration test mi sembra piu' la simulazione di un attacco di uno script kiddie per bucare un sito qualsiasi, con tanto di comandi per "provare a casa". Se da cliente vedessi un consulente fare un penetration test del genere lo denuncerei per truffa. Dubito che il linguaggio utilizzato e la metodologia dottrinale sia stata riportata per un target di utenti "script kiddie", se invece il riferimento è a me indirizzato ti invito cordialmente a non inviarmi più le tue pubblicazioni da riportare su Over Security. Profondamente offeso, cordiali saluti. Andrea ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
