Problemas del “pentesting real” según Marek Zmysłowski (IV)- ¿Tienes un minuto? Necesito un pentester

Solo empiezas a comprender lo que significa ser un programador cuando interactúas con el primer stakeholder que te pide entregar un software en 3 días cuando en realidad sabes bien que lleva como mínimo 3 meses de arduo trabajo. Ahí es donde te preguntas: ¿Pensarán realmente que programar es como jugar Solitario pero en la shell?

Una situación similar la viven cotidianamente los especialistas de seguridad encargados de hacer pruebas de intrusión, lo que en este caso, los stakeholder desafortunadamente son los programadores. Digo desafortunadamente porque se suponen que tengan más información técnica de los riesgos de seguridad y las dificultades que presupone la realización de estos tipos de pruebas.

Marek Zmysłowski lo definió con exactitud con la frase: ¿Tienes un minuto? Necesito un pentester.

Esta es la cuarta entrega de la serie dedicada a analizar la ponencia que realizó Marek Zmysłowski sobre los problemas que el encontraba en su trabajo como especialista de seguridad. Trataremos de dar respuesta a estas interrogantes. Te recomiendo que leas la introducción de esta serie si aún no lo has hecho.

En esta parte, Marek plantea que las pruebas de intrusión se ven como una formalidad que no requieren más que una simple revisión visual del sistema sin embargo, la realidad es otra:

  • El tiempo es la mayor restricción: ¿Racionalmente alguien considera que una prueba de intrusión de 2 horas puede tener la calidad y profundidad de otra que puede realizarse en una semana?
  • El pentester sabe cuánto tiempo necesita para realizar una prueba de penetración confiable: ¿Cuanto tiempo se demora un escaneo con WPScan, OWASP ZAP o Acunetix? Por solo citar tres ejemplos y esto es solo para empezar el reconocimiento básico básico básico.
  • Un atacante tiene una cantidad ilimitada de tiempo: El especialista de seguridad te dirá lo que puede decirte en el tiempo que se le haya asignado para entregar los resultados. Pocos problemas podrá encontrar en poco tiempo, sin embargo, el ciberatacante no tiene restricción de tiempo, no está apurado para entregar un informe y puede hacer un mejor trabajo.
RobertMorella

Ponencia “Penetration Testing Methods and Strategies” Robert Morella (MBA, CISA, CGEIT, CISSP)

¿El sistema que has programado durante 6 meses es tan sencillo que un especialista puede recorrer todos sus formularios, API y funcionalidad en un día y dar un veredicto de su seguridad?

En un futuro muy próximo veremos que estos temas pasarán a ser más una preocupación de los clientes finales que de los mismos programadores. Los clientes se preocuparán más de que los productos que han encargado tengan las mejores calificaciones de seguridad bajo condiciones apropiadas.  O al menos creo que por ahí puede estar la solución.

Espero que te haya resultado provechosa esta entrada y te ayude a mantener o mejorar la seguridad de tus aplicaciones web.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s