5 de marzo de 2009

Pen Testing Basics

Te prometo nena que yo no soy como los demás, realmente entiendo tus sentimientos y créeme, no hay nadie que te comprenda mejor que yo.

Respuesta: Está bien, quizás deba darte una oportunidad, ¿a qué te dedicas?

Respuesta: Hago Test de Penetración.

¡Zás!

Una vez un buen jefe me dijo que hacer un test de intrusión (suena mucho mejor), es como ir al ginecólogo, tienes las partes nobles de la otra persona en tus manos y necesitas ante todo tener mucho cuidado, mantener su privacidad veas lo que veas y… no esperarte la mayor de las colaboraciones.

El chico de metasploit dominando el mundo.

Reconozco que en el momento me pareció bastante exagerado, sin embargo la experiencia y el tiempo acabaron dándole la razón. Pues andaba yo pensando en estos test, de cómo han evolucionado de una mera auditoría Nessus + Nmap a herramientas que añaden una capa más de automatización donde ya no es necesario ningún conocimiento de seguridad, ni tan siquiera hacer un script, por ejemplo la herramienta Metasploit permite atacar una máquina remota en unos pocos pasos:

1.- Seleccionar y configurar el exploit.

2.- Comprobar el sistema operativo de la máquina atacada.

3.- Seleccionar el tipo de código o payload (vamos, el llamado “código arbitrario” que permiten incrustar una vulnerabilidad?.

4.- Lanzar el exploit.

El caso es que buscando herramientas similares me he encontrado con bastantes, unas para Linux, otras para Windows, freeware y de pago:

  • Inmunity’s CANVAS, de pago y bajo Windows.

  • Core Impact, idem que la anterior.

  • Bidibladh, que además te genera los informes (mientras te tomas el café y el Donet)

  • Inguma, esta si es gratuita y está hecha en Python (a ver si la pruebo un dia…)

Y no se cuantas más habrá, de todas formas el trabajo de pen test siempre es igual:

1.- Escaneo, exploración de red (Nmap).

2.- Detección de vulnerabilidades (Nessus, Nikto, Acunetix)

3.- ¿Explotación de vulnerabilidades? Aquí es donde entra en juego el Ethical Hacking, y donde el conocimiento humano es más importante.

4.- Generación de informes, reporte de alertas. El papelo, la parte más aburrida.

Mi duda es, ¿existe alguna herramienta que complete los 4 pasos?, ¿No?, Entonces a que espera alguien a ponerse a ello… ¿cuánto se podría agilizar este trabajo?

Quizás haya que ponerse a picar código…y a limar la idea, ¿qué funciones adicionales podrían ayudarnos?, quizás apoyarse en redes neuronales para el paso 3, o utilizar herramientas de extracción de metadatos en el paso 1, al estilo metagoofil de S21 serían buenas aportaciones. Todo sea por rizar el rizo :-P

¡Salu2!


2 comentarios:

Eusebio dijo...

y puede ser que un día esté todo el código picado y no sean necesarios los chicos de seguridad... ¿se os puede llamar así?

GigA ~~ dijo...

jaja, el día que esté todo el código picado ya nos preocuparemos de sacarle vulnerabilidades para que tengan que alguien tenga que seguir picando xD