Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción

Cuando preparaba las primeras conferencias iniciales sobre Pruebas de Penetración, conocidas también como Pentesting, tuve la suerte de encontrar en Internet la presentación “Penetration Testing 7 Deadly Sins” del especialista en consultorías de Seguridad Marek Zmysłowski. En ese momento me ayudó a comprender como enfocar una conferencia sobre este tema y a conocer algunas experiencias prácticas a nivel internacional.

Recientemente volví a tropezar con esta genial presentación realizada en el 2014 en el DefCamp, el evento más importante de ciberseguridad de Europa del Este. Sinceramente creo que es un material imprescindible que toda persona relacionada (temporal o permanentemente) con el pentesting debe conocer. Es una verdadera joya que ayuda a entender que cosa es una prueba de penetración, más allá de los estereotipos o creencias surgidas de la lectura casual de un documento teórico basado en experimentos de laboratorios en entornos controlados o peor, en la visión que nos transmiten las películas sobre ciberatacantes y especialistas de seguridad.

En conclusión, que cualquiera cree saber que cosa es el pentesting pero solo unos pocos conocen realmente de que va todo esto. Por supuesto, esas fallas conceptuales afectan negativamente la  deontología profesional de los vinculados a este campo. Por eso, Marek expone los siguiente “pecados” o problemas capitales de las Pruebas de Penetración:

Los nombres por si solos no muestran toda la riqueza del contenido de la presentación, por ese motivo realizaré una serie de ocho entradas, comenzando por esta, donde describiré la exposición de Marek. Siempre recomendaré la lectura del documento original o estudiar la conferencia que aparece en YouTube.

Introducción

Al comienzo de la presentación, Marek deja establecido los conceptos fundamentales de su presentación, estos son:

Evaluación de Vulnerabilidades

La evaluación de la vulnerabilidad es el proceso de identificar y cuantificar vulnerabilidades dentro de un sistema

Prueba de Penetración

Método para evaluar la seguridad de un sistema informático a través de la simulación de un ataque interno y externo. El proceso involucra un análisis activo del sistema para buscar cualquier vulnerabilidad potencial. Este análisis es llevado a cabo desde la posición de un potencial atacante y puede involucrar la explotación activa de vulnerabilidades de seguridad.

Señala que las palabras claves son Análisis Activo y Explotación Activa para diferenciar ambos conceptos. Básicamente, de lo que nos está alertando es que no podemos confundir un Escaneo de Vulnerabilidades con las Pruebas de Penetración. Esta sección concluye con una genial frase del gurú tecnológico Gary McGraw:

Si fallas una prueba de Penetración, sabes que tienes un serio problema. Si pasas una prueba de penetración, no sabes que tú no tienes un serio problema.

Actores del proceso:

  • Jefe de Proyecto/Analista de Riesgos: Responsable por el lado del cliente por la Prueba de Penetración
  • Especialista de Seguridad (Pentester): Una persona con muchas habilidades en seguridad.
  • Programador/Desarrollador: Persona o grupo de personas que son responsables de solucionar los problemas de seguridad encontrados.

El proceso:

  1. El Jefe de Proyecto solicita que se le realice una Prueba de Penetración al software. Al mismo tiempo es responsable de suministrar toda la información necesaria al pentester.
  2. El pentester realiza las pruebas de seguridad correspondientes y envía un reporte de resultados al Jefe de Proyecto.
  3. El Jefe de Proyecto envía el reporte correspondiente a los desarrolladores para que estos solucionen los problemas de seguridad encontrados.
  4. Los desarrolladores solucionan los problemas e informan de ello al Jefe de Proyecto.
  5. El Jefe de Proyecto solicita al pentester que vuelva a realizar una Prueba de Penetración al software para comprobar que los problemas de seguridad fueron solucionados por los desarrolladores.
  6. El pentester realiza las pruebas de seguridad correspondientes y confirma, a través de un reporte enviado al Jefe de Proyecto, que los problemas de seguridad fueron corregidos.

¿Problemas del proceso?

Marek explica que el proceso anteriormente descrito es casi una utopía y que en cualquiera de las fases del mismo pueden cometerse errores:

Jefe de Proyecto:

  • Tiene que gestionar y preocuparse de cada detalle de proyecto.
  • Ordenan las pruebas de penetración básicamente por una cuestión formal.
  • Quiere que el pentester realice las pruebas de seguridad en modo ASAP (tan pronto como sea posible) y que no encuentre nada.

Desarrolladores:

  • Implementan los parches de seguridad pero…
  • Su conocimiento sobre seguridad no es muy amplio.

Hasta aquí, la parte introductoria de esta genial presentación. En la próxima entrada trataremos el primer problema asociado: “Se cuidadoso, es nuestro sistema en un entorno de producción”

Nos encantaría conocer que opinas al respecto, siempre las opiniones personales pueden ser controvertidas y todos pueden aportar con su experiencia personal en la construcción de este conocimiento.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

6 comentarios en “Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción

  1. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (II)- Se Cuidadoso, es nuestro sistema en producción | Behique Digital

  2. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (III)- Mi Nessus es mejor que el tuyo | Behique Digital

  3. Pingback: Técnica Fuzzing con OWASP ZAP: Profundizando en el análisis de Directory Traversal y detectando en lote archivos por defecto | Behique Digital

  4. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (IV)- ¿Tienes un minuto? Necesito un pentester | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s