El pentesting, o proves de penetració, és una pràctica essencial per avaluar la seguretat de sistemes i aplicacions. No obstant això, aquesta activitat implica accions que, si no es realitzen dins d'un marc ètic i legal, poden ser considerades il·legals i malintencionades. En aquesta secció, explorarem els principis ètics i legals que guien el pentesting per assegurar que es realitzi de manera responsable i conforme a la llei.

1. Consentiment Previ: Abans de començar qualsevol prova de penetració, és imprescindible obtenir el consentiment explícit del propietari del sistema o aplicació. Això assegura que totes les parts involucrades estan d'acord amb l'abast i els objectius de la prova.

2. Confidencialitat: Els pentesters tenen accés a informació sensible durant les seves proves. És fonamental mantenir la confidencialitat de tota la informació obtinguda i no divulgar-la a tercers sense autorització.

3. Integritat: Els pentesters han de garantir que les seves accions no causin danys als sistemes o dades. Això inclou evitar la interrupció de serveis i assegurar-se que qualsevol canvi realitzat durant les proves sigui reversible.

4. Responsabilitat: Els pentesters han de ser responsables de les seves accions i estar preparats per explicar i justificar les seves decisions i mètodes utilitzats durant les proves.

Moltes organitzacions i associacions professionals, com l'EC-Council i l'ISACA, tenen codis ètics que els pentesters han de seguir. Aquests codis proporcionen directrius clares sobre el comportament esperat i ajuden a mantenir la integritat de la professió.

1. Lleis de Ciberseguretat: Diferents països tenen lleis específiques que regulen les activitats de ciberseguretat, incloent-hi el pentesting. És crucial que els pentesters coneguin i compleixin aquestes lleis per evitar conseqüències legals.

2. Acords de Confidencialitat (NDA): Abans de començar una prova de penetració, sovint es signen acords de confidencialitat per protegir la informació sensible i establir les responsabilitats de cada part.

3. Contractes de Servei: Els contractes de servei defineixen l'abast, els objectius i les limitacions de les proves de penetració. Aquests documents legals protegeixen tant el pentester com el client i asseguren que totes les parts estan alineades.

Realitzar proves de penetració sense autorització pot tenir greus conseqüències legals, incloent-hi multes, sancions i fins i tot penes de presó. És essencial que els pentesters actuïn sempre dins del marc legal per evitar aquestes repercussions.

Situació: Un pentester és contractat per una empresa per avaluar la seguretat de la seva xarxa interna.

Acció Correcta: El pentester obté un document signat pel propietari de l'empresa que autoritza explícitament les proves de penetració, especificant l'abast i els objectius.

Acció Incorrecta: El pentester comença les proves sense obtenir cap autorització escrita, confiant només en una conversa verbal amb un empleat.

Situació: Durant una prova de penetració, el pentester descobreix informació sensible sobre els clients de l'empresa.

Acció Correcta: El pentester documenta la troballa en l'informe final i assegura que la informació no es divulga a tercers sense autorització.

Acció Incorrecta: El pentester comparteix la informació amb col·legues o altres parts sense el consentiment de l'empresa.

Instruccions: Llegeix les següents situacions i identifica quin principi ètic s'està violant.

1. Un pentester realitza proves de penetració en un sistema sense informar el propietari.
2. Un pentester comparteix els resultats de les proves amb una empresa competidora.
3. Un pentester causa una interrupció en el servei durant les proves i no informa l'empresa.

Solucions:

1. Consentiment Previ
2. Confidencialitat
3. Integritat

Instruccions: Llegeix el següent cas i respon les preguntes.

Cas: Un pentester és contractat per una empresa per realitzar proves de penetració en la seva xarxa. Durant les proves, el pentester descobreix una vulnerabilitat crítica i decideix explotar-la sense informar l'empresa prèviament. Com a resultat, la xarxa de l'empresa queda inoperativa durant diverses hores.

Preguntes:

1. Quins aspectes legals ha violat el pentester?
2. Quines podrien ser les conseqüències legals per al pentester?

Respostes:

1. El pentester ha violat els termes del contracte de servei i possiblement les lleis de ciberseguretat, ja que no va obtenir autorització prèvia per explotar la vulnerabilitat.
2. Les conseqüències legals podrien incloure sancions econòmiques, rescissió del contracte i possibles accions legals per danys i perjudicis.

L'ètica i la legalitat són fonamentals en el pentesting per assegurar que les proves es realitzin de manera responsable i conforme a la llei. Els pentesters han de seguir principis ètics clars i conèixer les regulacions legals per evitar conseqüències negatives. En la propera secció, explorarem les tècniques de reconeixement i recollida d'informació, que són els primers passos en qualsevol prova de penetració.