Problemas del “pentesting real” según Marek Zmysłowski (III)- Mi Nessus es mejor que el tuyo

¿Cual es el papel de las herramientas en una prueba de penetración? ¿Es un escaneo de seguridad un pentesting? Esta es la tercera entrega de la serie dedicada a analizar la ponencia que realizó Marek Zmysłowski sobre los problemas que el encontraba en su trabajo como especialista de seguridad. Trataremos de dar respuesta a estas interrogantes.

Te recomiendo que leas la introducción de esta serie si aún no lo has hecho. Luego, te propongo  continuar con la sección dedicada al segundo problema capital referenciado como “Mi Nessus es mejor que el tuyo“:

En esta parte, Marek expone tres verdades y hechos más claros que el agua:

  • Con mucha frecuencia, el escaneo de vulnerabilidades es tratado como si fuera la prueba de penetración en sí.
  • No existe un escáner con el botón “Hackea la aplicación”
  • Los escáneres se tratan únicamente como herramientas de APOYO durante las pruebas de penetración.

La presentación continúa luego con un video de 23 segundos divertido llamado How not to use a chainsaw muy apropiado para la ocasión. Posteriormente, presenta la siguiente situación real: Durante un prueba de seguridad de una aplicación web, recibí  los siguientes resultados de Acunetix“:

  • 243 confirmed XSS
  • 97 XSS
  • 99 páginas de reporte

Explica que a pesar de esta cantidad de vulnerabilidades, realmente se trataba solo de una página y que solamente un parámetro era vulnerable. Sin comentarios.

Por último concluye con una cita de Michael Howard, autor entre otros del libro 24 Deadly Sins of Software Security: Programming Flaws and How to Fix Them

¡Las herramientas no aseguran el software! Ayudan a escalar el proceso y  hacer cumplir las políticas.

Conclusiones

Hay muchas formas de abordar este problema específico que nos plantea Marek pero voy a tratar de manterlo simple:

  •  Como toda herramienta, estas valen tanto como el conocimiento de los especialistas que la manejen. Generar un informe de más de 500 páginas con Acunetix , solo escribiendo la URL y dando clic en Next es muy fácil y puedes impresionar a cualquiera, a cualquiera que no sepa ciberseguridad y aplicaciones web (eso incluye a los ciberdelincuentes).
  • Pregunta filosófica: Si todavía no se ha creado un software que sustituya el trabajo de los humanos en la programación de aplicaciones informáticas, ¿vamos a creer que si existe un software para evaluar el resultado de los mismos programadores humanos y específicamente para decirle en que se ha equivocado? ¿uhmmm?

No me imagino haciendo una prueba de penetración en una aplicación web sin disponer como mínimo de un OWASP ZAP, un Burp Suite o un WPScan si se trata de un WordPress. Pero de ahí al informe final hay mucho trabajo de análisis de un sistema llamado Brain que tiene que recibir actualizaciones diarias de las últimas vulnerabilidades descubiertas,  las formas de ejecutar las pruebas de seguridad sin dañar los sistemas y por si esto fuera poco, analizar código ofuscado como el de este  malware de la familia Js.Trojan.Rass.

No quería despedirme, sin antes dejarlos con un experimento que hizo nuestro excelente ingeniero Yaisel Hurtado González (el sysadmin increíble), quien recientemente realizó un aporte en el código de la herramienta de auditoría de seguridad Lynis. Yaisel quería probar la aplicación www.shelldetector.com y claro, envió la shellcode IndoXploit. Le retornaron un enlace con el resultado del escaneo de seguridad: SAFE TO USE, ¿interesante verdad? En la próxima entrada trataremos el tercer problema: ¿Tienes un minuto? Necesito un pentester.

shelldetector

Figura 1. ShellDetector utiliza bases de datos de diversas firmas y no es capaz de reconocer a a la shellcode IndoXploit.

Espero que te haya resultado provechosa esta entrada y te ayude a mantener o mejorar la seguridad de tus aplicaciones web.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

Un comentario en “Problemas del “pentesting real” según Marek Zmysłowski (III)- Mi Nessus es mejor que el tuyo

  1. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s