Español | English
rss facebook linkedin Twitter

To exploit or not to exploit

Estos días en la lista de correo Dailydave hay un hilo abierto que me parece bastante interesante. Comenzó con el anuncio de una nueva certificación por parte de los chicos de Immunity, llamada Network Offense Professional (NOP), y que estará disponible en la DEFCON del mes que viene en Las Vegas. Ésta consistirá en la búsqueda y explotación de una vulnerabilidad en un software dado ejecutado en un Windows 2000, desde cero y con limite de tiempo. Se anunció de forma que parecía que todo pentester que se precie debería poder superarla y tener conocimientos del tema para dar garantías a sus clientes, y es aquí donde algunos no estaban del todo de acuerdo.


La discusión, que todavía está viva, se puede resumir en si es realmente necesario saber explotar una vulnerabilidad y ejecutar código en la máquina remota para realizar una buena auditoría. Personalmente creo que, aunque no sea del todo necesario llegar a la ejecución de código, los conocimientos que se adquieren con la explotación de vulnerabilidades deja una base de experiencia que a la postre garantizará la confianza en el auditor. Os animo a que leáis el hilo completo y nos dejéis vuestras impresiones al respecto.

Jose Miguel Esparza
S21sec labs

6 comentarios:

Sebastián dijo...

Peronalmente, trabajo diariamente con diagnósticos de vulnerabilidades como auditores de nuestros clientes.

Aunque tengo una importante base de conocimientos "teóricos" sobre explotación de vulnerabilidades, mi experiencia práctica no es mucha (casi nula).

Por lo tanto, concuerdo con quién escribió el artículo: no creo que sea una condición necesaria y creo que se puede asesorar muy bien a nuestro cliente de todas formas. Sin embargo, tener experiencia en explotación de vulnerabilidades (en la "práctica") enriquece a cualquiera como auditor.

Saludos...

Trancek dijo...

No lei todo el hilo completo, solo el de Dave Aitel y la verdad no creo que tenga mucho merito, ya que te dejan los programas de Immunity para hacer todo el trabajo creo, y si es como tu dices en un Windows 2000...se quedaron algo anticuados.

Pero bueno, a mi el tema d las certificaciones, como que a veces las veo como pagar un dinero porque se te reconozca algo en lo que otras personas que no tienen pasta no pueden pagarlo y saben mas..asi que...en definitiva es para sacar dinero(ya se vera cuando se haga oficial y se pueda ver algun ejemplo).

Y para las auditorias, yo no se como se haran, pero estaria bueno que algo se haya visto, al menos con herramientas para metasploit y otras, o sepan de las ultimas vulns de software, que aunque no tengan exploits, es posible que alguien lo saque en privado para él solo. Daría mas seguridad al cliente.

Boken dijo...

Hola.

A mi entender el proceso de busqueda y explotacion de bugs, es un software, es uno de los muchos puntos a cubrir en una Auditoria de Seguridad Informatica.

Esta tarea es bastante compleja y requiere de muchos conocimientos tecnicos ademas de cierta experiencia.

Segun el objetivo de la Auditoria la busqueda y explotacion de fallos sera mas o menos importante. Si se busca saber si la empresa padece fallos conocidos hasta el momento, es cierto que no es necesario ser un exploit writer para llevarla a cabo.

Sin embargo si lo que se busca es blindar todos los rincones, es necesario saber buscar y explotar fallos.

Por ello, creo para una certificacion que se llame: "Network Offense Professional" es correcto pedir que sea un experto exploit writer, ya que sino se llamaria "Network Auditor Professional"

Debido a lo complejo, veo bien que se especialice dicha disciplina, ya que desde mi experiencia puedo afirmar que el trabajo de un exploit writer es como para dedicarse en exclusiva.

Repecto a lo que dice Trancek, es obvio que las certificaciones buscan scar dinero, de hecho ofrecen descuentos en sus productos, y fomentan su uso en la certificacion. Pero por desgracia, cuando te van a contratar, el que posee estas certificaciones, tiene mas opciones de ser contratado e incluso de negociar a la alza su sueldo.

Esto lo podran confirmar/desmentir nuestros amigos de S21Sec, ¿que opinais?

Saludos.

S21sec labs dijo...

Sobre el tema de certificaciones hay opiniones para todos los gustos, puesto que como en todo, generalizar no es adecuado. Hay certificaciones que realmente aportan porque, o bien obligan a la persona a preparar en profunidad algún tema o bien certifica que esa persona realmente domina ese tema. Pero también hay muchas certificaciones 'de negocio' cuyo mayor objetivo es ganar dinero.

Por supuesto, a la hora de buscar trabajo, generalmente suman más puntos que alguien que no tiene, ya que demuestra el interés de una persona en seguir formándose (independientemente de la calidad de la certificación). Por supuesto, unas certificaciones se valorarán más que otras, pero en general suman más que restan.

eduardo abril dijo...

Buena pregunta ...

Por un lado, en las auditorías puede llegar a verse alguien que dice que una vulnerabilidad es explotable cuando, realmente, las probabilidades de que eso ocurra son mínimas (p.ej., debe disponerse de un 0-day). Para minimizar el efecto de estas "fantasmadas" (con perdón), no parece una mala idea establecer una especie de certificado adicional para cuando requieren llegar más lejos.

Pero en la vida real no fácil que te dejen lanzar un exploit contra un servidor de producción. ¿Os imagináis toda la banca electrónica de la Caixa parada porque a un auditor se le ha ocurrido que su exploit funcionaba? Ni te van a dar permiso, ni parece una buena idea darlo.

Aparte, hay un problema adicional, al menos para mí: sí, vale, has sabido escribir un exploit que funciona para tú particular versión del sistema operativo, software, etc ... ¿estás absolutamente seguro de que es la que tiene el servidor? XEON, Itanium, multitud de versiones del apache, redhat, windows 2003 con y sin parches de seguridad ... Demasiada variedad como para acertar.

No me parece que sea necesario saber escribir exploits para hacer una buena auditoría. Por supuesto, cuanto más sepas mejor. Pero no me parece un requisito. Creo que es más importante saber dónde buscar fallos (experiencia), que saber como escribir un heap-overflow.

Aunque claro, todo es discutible ...

Saludos,

Anónimo dijo...

Depende del tipo de certificación. En el mundo en el que nos movemos, creo que las certificaciones no son tan necesarias(hablo como tecnico). Mas bien en la entrevista verán si sabes lo que dices o no, así como el que alguien te conozca y pueda aportar referencias.
Si este es el caso, las certificaciones no marcarán la pauta, aunque sin duda serán una buena ayuda.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login