Security Professionals - ipfw add deny all from eindgebruikers to any

Pentesting contract

25-07-2017, 22:58 door Anoniem, 15 reacties
Is er een goed voorbeeld van een contract voor(-afgaand aan) een pentest?

Er is veel info via de bekende zoekmachines te vinden maar ik ben nog geen goed voorbeeld tegengekomen. Deze leek me wel interessant https://www.ncsc.nl/actueel/whitepapers/pentesten-doe-je-zo.html, maar is inmiddels weer 7 jaar oud en aan vervanging toe ;)

Er zijn volgens mijn grofweg twee manieren van pentesten:
1) je hebt expliciete toestemming van de opdrachtgever (hier is een contract een voorwaarde als je een pentest wilt uitvoeren)
2) je hebt geen expliciete toestemming van de opdrachtgever, in dit geval lijk je op een aanvaller.*

* Echter als je gebruik maakt van de responsible disclosure leidraad van de eigenaar van de website of het NCSC dan zal je eerder als een helper worden gezien ipv een aanvaller.

Elk professionele pentester maakt dus voorafgaand aan de pentest een contract. Nu snap ik dat die contracten niet publiek zijn maar er is in de literatuur (wat ik tegen ben gekomen) weinig geschreven over zo een specifiek contract itt de grote hoeveelheid aan teksten over pentesting technieken en de 5 fasen van pentesten. Het lijkt alsof een contract voor pentesten een ondergeschoven kindje is terwijl dit volgens mij van cruciaal belang is voor een succesvolle pentest.
Reacties (15)
26-07-2017, 09:59 door MathFox
Contracten zijn vormvrij, maar er is wel een standaard opzet voor een contract:

1. wie zijn de partijen
2. wat ga je uitvoeren (welke servers, wat voor scan, van buiten of binnen, doe je ook social engineering, etc. Is er een beperking in uren? Hoe rapporteer je?)
3. wat is de tegenprestatie? (geld, betaaltermijn, incassokosten bij late betaling)
4. bijkomende clausules:
- geheimhoudingsverklaring
- toegang tot documentatie, pand of netwerk
- belangrijk: waarschuwing dat er schade kan ontstaan en vrijwaring
- intellectueel eigendom op ontwikkelde hacktools
5. Ondertekenaars verklaren namens partijen gemachtigd te zijn de overeenkomst te sluiten.

Ik raad je aan om een paar euro te spenderen aan professioneel juridisch advies voor jouw standaardcontract, niet alleen om de tekst goed te krijgen, maar ook om te begrijpen wat de consequenties van afwijkingen zijn.
26-07-2017, 10:34 door Anoniem
"belangrijk: waarschuwing dat er schade kan ontstaan en vrijwaring"

Dubbel-belangrijk: leg vast wie dit verder met andere partijen moet regelen. Je loopt bijvoorbeeld tegen dingen aan als: shared hosting, cloud services/saas, externe partijen op hetzelfde WAN/LAN (huurders, shared office space, etc.), thuiswerkers/road warriors. etc.

Indien een webapp test dan is de veiligste manier om op een test-omgeving te werken. De klant moet dan wel begrijpen dat dit alleen zinvol is indien het niet te veel afwijkt van de echte omgeving.

Door dit geneuzel is het makkelijker om ergens in dienst dit werk te doen danwel jezelf op bug bounties te richten maar dat is mijn persoonlijke mening :-)
26-07-2017, 10:44 door Anoniem
Ook op reddit staat een aardige discussie:
https://www.reddit.com/r/sysadmin/comments/wjuop/standard_pentesting_contract/

Ook daar dus het advies voor een goede advocaat. En die zijn niet goedkoop. Zeker niet degenen met kennis van IT en dis dus snappen wat een pen-test is. Iemand die niet vraagt of je balpennen of vulpennen test en of je misschien ook potloden wilt testen.

Zorg ook dat duidelijk in het contract staat wat je NIET doet. Dat om te voorkomen dat je later de opmerking krijgt van de klant dat hij dacht dat je X of Y ook deed.

Peter
26-07-2017, 11:38 door Anoniem
2) je hebt geen expliciete toestemming van de opdrachtgever, in dit geval lijk je op een aanvaller.

Indien je geen expliciete toestemming hebt van een opdrachtgever, dan ben je geen pentester. Pentesting is *altijd* in opdracht van, en dus met goedkeuring van, een opdrachtgever. In dit geval *ben* je een aanvaller. Mogelijk dat je niet wordt vervolgd indien je je aan de responsible disclosure richtlijnen houdt, maar dat is een ander verhaal.
26-07-2017, 11:46 door Anoniem
.....En een goede rechtsbijstandsverzekering afsluiten, want bij een juridisch geschil kost een advocaat al gauw 100 euro/uur. Die ellende kun je dus vóór zijn met bovengenoemde verzekering. Het heeft mij in ieder geval goed geholpen!
26-07-2017, 11:52 door Anoniem
https://www.truesec.be/docs/TrueSec-Pentest-Agreement-v2.pdf
26-07-2017, 11:59 door [Account Verwijderd]
Er zijn twee kernelementen in een overeenkomst voor penetratietesten:

- Uitsluiting strafrechtelijke vervolging voor computervredebreuk en
- Regelen van de aansprakelijkheid voor schade.

Ook elementen uit eerdere posts zijn relevant, maar bovenstaande twee vormen de kern. Het opstellen van zo'n overeenkomst vergt inderdaad ook kennis van IT, maar is ook weer niet zo ingewikkeld.
26-07-2017, 13:12 door Anoniem
Door Anoniem: https://www.truesec.be/docs/TrueSec-Pentest-Agreement-v2.pdf

Da's niet zo'n beste...
26-07-2017, 14:37 door Anoniem
Door Anoniem: .....En een goede rechtsbijstandsverzekering afsluiten, want bij een juridisch geschil kost een advocaat al gauw 100 euro/uur. Die ellende kun je dus vóór zijn met bovengenoemde verzekering. Het heeft mij in ieder geval goed geholpen!

Misschien interessant als je je casus toelicht .

Verder bij een rechtsbijstandverzekering (en eigenlijk iedere verzekering) goed lezen of de zaak wel gedekt wordt .
De TS klinkt als iemand die zakelijk wil gaan pentesten . Een gewone particuliere RBV dekt zeker geen zakelijke geschillen .

Ook zitten er gewoonlijk uitsluitingen in voor dekking qua bijstand bij het (bewust) plegen van misdrijven. Je moet niet heel verbaasd zijn als een ongevraagde security audit die escaleert tot een vervolging computervredebreuk dan buiten de dekking valt.
26-07-2017, 17:24 door Anoniem
Door Anoniem: .....En een goede rechtsbijstandsverzekering afsluiten, want bij een juridisch geschil kost een advocaat al gauw 100 euro/uur. Die ellende kun je dus vóór zijn met bovengenoemde verzekering. Het heeft mij in ieder geval goed geholpen!

Dit gaan dit soort dingen niet dekken 123. Daarvoor heb je een Bedrijfsaansprakelijkheid/Beroepsaansprakelijkheid verzekering voor nodig.
Je goed laten adviseren zou hiervoor eigenlijk het advies zijn. Het als de contractuele overeenkomst.

Daarnaast kan het verstandig zijn, om dit als BV te doen en niet in een andere zakelijke rechtsvorm om prive niet direct aansprakelijk gesteld te kunnen worden.
26-07-2017, 17:56 door Anoniem
Contracten zijn zeker niet een onderschoven kindje maar alle bedrijven gaan deze natuurlijk niet zomaar publiceren zodat iedereen het gaat copy/pasten :-)

Het is belangrijk dat je de scope neerzet, op wat je gaat testen (owasp of blackbox bv) en jezelf goed indekt voor als je iets per ongeluk kapot maakt.
27-07-2017, 08:58 door Anoniem
Contracten zijn zeker niet een onderschoven kindje maar alle bedrijven gaan deze natuurlijk niet zomaar publiceren zodat iedereen het gaat copy/pasten :-)

Google even op standaard penetration testing contract, en je hebt zo een voorbeeld wat je voor een groot deel kan copy / pasten. Dergelijk materiaal kan je online wel gemakkelijk vinden. Check wel met een jurist welke verdere aanpassingen evt nodig zijn.

Overigens heeft niemand belang bij het ''verbergen'' van dergelijke standaard templates, en partijen publiceren dergelijk materiaal dus juist wel, als voorbeeld pen test contracten (een daadwerkelijk contract met een klant, i.p.v. een template als voorbeeld, dat zet je niet online).
27-07-2017, 09:00 door Anoniem
Da's niet zo'n beste...

Je reactie wordt een stuk interessanter, als je enige onderbouwing toevoegt. Waarom is het niet goed, en wat kan beter. Ook zou je kunnen overwegen om een link te plaatsen naar voorbeelden die je beter vindt. Zonder dergelijke toelichting hebben mensen weinig aan je reactie.
27-07-2017, 09:04 door Anoniem
Deze leek me wel interessant https://www.ncsc.nl/actueel/whitepapers/pentesten-doe-je-zo.html, maar is inmiddels weer 7 jaar oud en aan vervanging toe ;)

Waarom, wat is er in de afgelopen jaren verandert aan penetration testing contracten ? De juridische aspecten zijn nog altijd identiek ? Wat moet er nu wel in staan, wat er in 2010 niet in stond ?
27-07-2017, 12:26 door Anoniem
Door Anoniem:
Contracten zijn zeker niet een onderschoven kindje maar alle bedrijven gaan deze natuurlijk niet zomaar publiceren zodat iedereen het gaat copy/pasten :-)

Google even op standaard penetration testing contract, en je hebt zo een voorbeeld wat je voor een groot deel kan copy / pasten. Dergelijk materiaal kan je online wel gemakkelijk vinden. Check wel met een jurist welke verdere aanpassingen evt nodig zijn.

Overigens heeft niemand belang bij het ''verbergen'' van dergelijke standaard templates, en partijen publiceren dergelijk materiaal dus juist wel, als voorbeeld pen test contracten (een daadwerkelijk contract met een klant, i.p.v. een template als voorbeeld, dat zet je niet online).

Uhu, daarom is deze thread er, toch? Standaard contracten die je vind op het internet zijn kut en heel vaak gericht op Amerikaanse wet. Goed argument ook waarom niemand belang heeft bij het verbergen van contracten... oh wacht, die heb je niet gegeven :-) Succes met het vinden van een fox/mg/deloitte/kpmg/etc contract op het internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.