Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Pablo González, Project Manager en ElevenPaths

'Pentesting' persistente y estratégico: nuevos ataques y nuevos modelos

Puede parecer un tópico decir que cada día que pasa las empresas están más expuestas en Internet y tienen una mayor presencia en el mundo digital, pero lo cierto es que es una realidad que puede verse reflejada diariamente en noticias sobre incidentes o brechas de seguridad.

Estar más expuesto en Internet significa que tus activos como empresa son potencialmente más atacables, por lo que pueden recibir agresiones constantemente. La idea de que los usuarios maliciosos o el atacante no descansan es una verdad empírica, para la cual las empresas disponen de una serie de herramientas obsoletas como han sido las auditorías de seguridad o el modelo de éstas que se conoce. 

Hoy en día, las empresas necesitan disponer de equipos de seguridad 24x7 y estar constantemente atacándose, con el fin de rebajar los tiempos de detección de las vulnerabilidades y debilidades que pueden encontrarse. En otras palabras, realizar un pentesting persistente o continuo es una de las vías que existen para rebajar el tiempo de ventaja que tiene un atacante. Por ejemplo, desde que se realiza una auditoría de seguridad, con un posible pentesting, pueden pasar meses en el mejor de los casos, hasta que se realiza una prueba para detectar los riesgos a los que se expone una empresa.

Este hecho ha estado aportando una gran ventaja a los usuarios maliciosos que disponían de un tiempo considerable de ventaja para llevar a cabo sus acciones. Con el pentesting persistente este tiempo se ve bruscamente reducido, proporcionando a la empresa una revisión al día de cómo se encuentra su infraestructura. Desde el punto de vista económico, no todas las compañías pueden costear que un equipo de auditores o de pentesters esté constantemente probando la seguridad de su infraestructura. Otro hecho real es el dimensionamiento y número de activos de grandes organizaciones, las cuales necesitan de herramientas automáticas que puedan revisar cualquier tipo de activo. En otras palabras, las grandes, e incluso medianas, empresas necesitan herramientas que permitan crawlear gran contenido de información, tanto la directamente expuesta como la relacionada con terceros. Un equipo de pentesters necesita apoyarse en servicios que permitan realizar este Discovery como lo hace el servicio Faast de Eleven Paths. 

elevenpaths2

Nuevos conceptos

Otra de las situaciones que históricamente se ha realizado en el mundo de la seguridad corporativa es la búsqueda de vulnerabilidades en los activos tecnológicos directos de las empresas. Se han utilizado escáneres como Nessus o Acunetix con el fin de detectar vulnerabilidades directamente sobre software o aplicaciones web expuestas por la empresa. Hoy en día existen un par de conceptos nuevos y que un pentester debe revisar. 

  • El primero de ellos son las vulnerabilidades indirectas, las cuales no se encuentran directamente bajo el control de la empresa u organización que quiere revisar su nivel de seguridad.
  • El segundo son las debilidades, las cuales son situaciones que presentan los sistemas de información, las aplicaciones web, cualquier entorno en el que se proporciona una ventaja al atacante. En este entorno, el atacante consigue información que puede convertir, a través de la inteligencia aplicada a lo ya conseguido por otros medios, en una clara ventaja durante el ataque y que podría concluir con la organización comprometida.

Con estos dos puntos necesarios hoy día, se puede decir que las empresas necesitan servicios de pentesting persistente y que deben tener muy en cuenta lo que ocurre fuera de sus fronteras. Con estas dos preocupaciones nace el concepto de pentester estratégico, cuya figura se encarga de obtener una visión global del estado de seguridad de una empresa, de las relaciones con terceros y cómo el uso de funciones de terceros puede afectar a la compañía. El concepto de pentester estratégico aumenta el nivel funcional y organizativo del pentester, dotándole de mayor control, nuevos vectores de ataque y mayor capacidad de decisión.

Desde el punto de vista de un pentester, se debe realizar un Discovery amplio, enfocando en todos los dominios y servicios que expone una empresa. Esta área del pentest ha evolucionado en gran medida a los cientos de servicios que aportan hoy día información en Internet. El uso de los principales buscadores de contenido es una vía rápida para obtener gran cantidad de activos sobre una empresa que pueden ser evaluados, o el uso de servicios como Archieve.org para evaluar activos que pueden haber sido crawleados con anterioridad y que la empresa, actualmente, ha ocultado. La búsqueda de aplicaciones móviles en los principales stores puede permitir al pentester obtener nuevas direcciones URL, datos del desarrollador, e-mails, etcétera. Esta técnica puede llevarse a cabo a través del servicio Path5 de Eleven Paths.

'Pentest' hacia APT

En muchas ocasiones, los desarrollos de aplicaciones móviles se dejan en manos de empresas de terceros que pueden generar debilidades por la información que presentan. La utilización de buscadores de dispositivos por cada dirección IP de la organización no es algo nuevo, pero realmente útil para descubrir servicios que, por ejemplo Shodan o Robtex, puede tener almacenado. En algunas ocasiones el pentester estratégico puede orientar un pentesting hacia una APT (Advanced Persistent Threat) y utilizar la información recogida para este tipo de pruebas.

Por ejemplo, un pentester puede recoger correos electrónicos a través de herramientas como The Harvester, los propios buscadores de contenido, servidores de claves PGP, etcétera, y utilizarlos como raíz para orientar una prueba de APT contra una organización. Se puede decir que existe un nexo de unión entre el Discovery de un pentest y las primeras fases del APT.

La utilización de fuerza bruta a directorios da paso a utilizar dicha técnica en otros servicios, como puede ser un servidor DNS, un CMS con el objetivo de encontrar o identificar una versión o el nombre de un producto. La herramienta FOCA realiza algunas de las técnicas citadas anteriormente, aunque el servicio de pentesting persistente Faast utiliza toda la potencia del cloud para ejecutar el máximo de pruebas de Discovery conocidas y que permita obtener el mayor número de información de una empresa, sus dominios y empleados. 

Cómo se mencionó anteriormente, el pentester estratégico focaliza su trabajo en la seguridad propia y externa de la organización. Un ejemplo básico de una debilidad, y que muchas empresas no validan en sus pruebas de seguridad, es la ejecución de código externo en sitios web. El incidente entre los Syrian Electronic Army (SEA) e Ira Winkler es un claro ejemplo.

Desembocó en un ataque que demuestra el peligro de la carga de código de dominios externos, los cuales no se encuentran bajo la supervisión del auditado. Los SEA averiguaron el registrador de dominio de una librería Javascript que utilizaba el sitio de la RSA Conference. Realizaron una campaña de phishing contra los empleados de la registradora. Cuando consiguieron acceso cambiaron la dirección IP del dominio, en el que se encontraba la librería. Cuando los usuarios accedían al sitio web de la RSA Conference, no se cargaba la librería legítima y se podía ejecutar otro tipo de código.

El hotlinking es similar a esta debilidad, salvo que afecta directamente a la imagen y reputación de la organización. Otra vía interesante que el pentester debe tener en mente son los dumps de bases de datos, por ejemplo con identidades digitales robadas. Respecto a ataques directos contra la infraestructura de las empresas se deben tener en cuenta las bases de datos NoSQL, para las cuales existen inyecciones. La documentación diaria del pentester estratégico es fundamental para estar al día en temas a los CVE y pequeños trucos de pentester que salen día a día.

En el libro Ethical Hacking: Teoría y práctica para la realización de un pentesting, de la editorial 0xWord, se recoge el proceso de realización de un pentesting enfocado tanto al proceso clásico como a su transición al pentesting persistente.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual