MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.7.08

To exploit or not to exploit

Estos días en la lista de correo Dailydave hay un hilo abierto que me parece bastante interesante. Comenzó con el anuncio de una nueva certificación por parte de los chicos de Immunity, llamada Network Offense Professional (NOP), y que estará disponible en la DEFCON del mes que viene en Las Vegas.

Ésta consistirá en la búsqueda y explotación de una vulnerabilidad en un software dado ejecutado en un Windows 2000, desde cero y con limite de tiempo. Se anunció de forma que parecía que todo pentester que se precie debería poder superarla y tener conocimientos del tema para dar garantías a sus clientes, y es aquí donde algunos no estaban del todo de acuerdo.
La discusión, que todavía está viva, se puede resumir en si es realmente necesario saber explotar una vulnerabilidad y ejecutar código en la máquina remota para realizar una buena auditoría.

Personalmente creo que, aunque no sea del todo necesario llegar a la ejecución de código, los conocimientos que se adquieren con la explotación de vulnerabilidades deja una base de experiencia que a la postre garantizará la confianza en el auditor. Os animo a que leáis el hilo completo y nos dejéis vuestras impresiones al respecto.


Fuente:
http://blog.s21sec.com

# pistus

0 comentarios: