reox hat geschrieben: 
05.09.2017 22:22:13
* schätze mal er wird ne SMTP verbindung aufmachen und die Header lesen?
Dann wäre ich sehr gespannt was der Kasper zu dem folgenden SMTP dialog sagen würde
Code: Alles auswählen
% telnet 138.197.185.217 25
Trying 138.197.185.217...
Connected to 138.197.185.217.
Escape character is '^]'.
220 mail1.rostwald.de ESMTP spamd IP-based SPAM blocker; Thu Sep 7 12:21:38 2017
HELO test
250 Hello, spam sender. Pleased to be wasting your time.
MAIL FROM <test@mydomain.lan>
250 You are about to try to deliver spam. Your time will be spent, for nothing.
RCPT TO: <test@localdomain.lan>
250 This is hurting you more than it is hurting me.
DATA
451 Temporary failure, please try again later.
Connection closed by foreign host.
Nein, die IP/hostname sind nicht anonymisiert - die crawler dürfen das ruhig fressen. Je mehr spamhosts auf der Blacklist landen, desto ruhiger wirds für mich
BOT:
Ich würde diesen ersten Bericht ausführlich kommentiert, inkl. links/zitate zu den entsprechenden patchnotes und betroffenen CVEs an den Zuständigen bei euerem Kunden (+ggf CC an den "Pentester") zurücksenden. Ein grep durch die mails der security-announce liste in den letzten ~6 Monaten deckt da i.d.r. schon >90% von allem was man braucht ab.
Ruhig häufiger darauf hinzuweisen, dass die genannten CVEs - wie du schlüssig dargelegt hast - in den verwendeten Versionen gefixt sind
und diese Information dem Pentester hätte bekannt sein müssen bzw hätte recherchieren müssen. Wichtig: Das ganze *muss* auch eine kurze, nicht zu technische Zusammenfassung beinhalten, die - sofern gerechtfertigt - die Inhaltlichen Lücken und Fehler des Berichts hervorhebt! (siehe weiter unten warum...)
Der Kunde wird ziemlich sicher einiges an Geld dafür ausgeben - wenn man ihnen klar macht, dass sie da mit nem Azubi und google in wenigen Stunden zu einem Bruchteil der Kosten ein aussagekräftigeres (korrekteres) Ergebnis bekommen könnten, werden die sich sicherlich schnell jemanden suchen der wirklich Kompetent ist und nicht nur ohne weitere Recherche (geschweige denn konkrete Pentests durchzuführen) wahllos CVEs zu Software/Paketversionen auflistet, ohne deren Aktualität zu Prüfen...
Zu praktisch sämtlichen CVEs zu denen auch exploits existieren, gibt es i.d.r. auch fertige metasploit module oder sie sind dafür einfach zu skripten. Ein konkreter Test auf die Anfälligkeit eines Dienstes ist heutzutage wirklich jedem skriptkiddie möglich (dank Kali Linux gibts ja mittlerweile auch genug solcher "Pentester") - wenn der Tester auch das nicht hinbekommt (will?) um einen wirklich Aussagekräftigen Report zu erstellen, dann reich doch ggf entsprechende logs von eigenen Analysen ebenfalls ein - wieder mit dem Hinweis, dass dies eigentlich Aufgabe des Pentesters gewesen sein sollte, und dass diese erste ausführliche Analyse des Testberichts noch ohne Aufwandsberechnung erfolgt, zukünftig bei negativem Ergebnis aber der Zeitaufwand berechnet werden muss.
Solche Tests werden zu 99% von Schlipsträgern (
PHB) in Auftrag gegeben die nicht den blassesten Schimmer von Software (oder Technik im allgemeinen) haben und erstmal alles glauben was ihnen in einem bunten Hochglanzreport vorgelegt wird - genau deshalb muss der eigene Bericht eine kurze, einfache Zusammenfassung enthalten. Das Einzige was bei denen noch mehr zieht als buntes Papier mit Horrorgeschichten, ist das andere bunte Papier: Geld. Wenn man denen (am besten auch mit nem bunten Hochglanzreport) erklärt, dass sie zu viel davon für minderwertige Reports ausgeben, sind sie ganz schnell Handzahm und suchen sich jemand anderen für die Tests. (Pro-Tip: Im richtigen Moment ein professionelles Unternehmen/Freelancer empfehlen)
