Español | English
rss facebook linkedin Twitter

Pentesting en el 2010

Parece mentira pero dentro de poco harán 10 años desde que empecé a trabajar para S21SEC. En estos años, aunque he realizado muchas otras tareas, mi labor principal ha sido la de Pentester.

Por si alguien aun no sabe a qué se dedica un Pentester, la Wikipedia nos da la siguiente definición de Pentest: Método de evaluar la seguridad de una red o sistema informático mediante la simulación de un ataque malicioso por parte de un Hacker blackhat o Cracker.

En resumen es evaluar la seguridad de un sistema con los mismos métodos que lo haría un atacante real.

El objetivo de un Pentest no es detectar todas las vulnerabilidades presentes en los sistemas, sino cumplir con un objetivo pactado con el cliente como puede ser: obtener acceso a la información confidencial, intentar sacar información hacia afuera sin ser detectados, tomar el control de servidores internos críticos, evitar ser detectados por los sistemas de protección, etc.

Generalmente el perfil de empresa que requiere estos servicios son empresas que tienen medidas de seguridad implementadas que quieren verificar su funcionamiento.

Recuerdo que en el año 2000 muchos aventuraban el final de este tipo de trabajos tal y como se conocían. Yo mismo pensaba igual. Pero aquí seguimos.

También es curioso el nivel de éxito (o fracaso) que se sigue logrando en estos trabajos. Ya no estamos en el 100% de objetivos de intrusión logrados como en los primeros años, pero aun se alcanzan porcentajes notablemente altos considerando el perfil de nuestros clientes habituales: Grandes empresas, con una inversión aceptable en seguridad y con medidas de seguridad actualizadas (Firewalls, IPS, Control de usuarios, Actualizaciones automáticas, etc.).

A pesar del avance de las tecnologías de seguridad, de la mayor concienciación de los administradores y usuarios, aun es necesaria la comprobación empírica de que las medidas de seguridad son suficientes (o insuficientes) para detener a un atacante.

Las técnicas de Pentesting han cambiado mucho en estos años, pero básicamente la metodología sigue siendo la misma. Cambian las tecnologías, mejoran las protecciones, pero siguen existiendo fallos que permiten vulnerar la seguridad de un sistema.

Además el proceso habitual para aprovechar estos fallos sigue teniendo un esquema “básico” similar:

En los 90 el proceso solía ser:
1) Exploración de números de teléfono en busca de módems o de redes X25 en busca de direcciones accesibles
2) Localización de una vulnerabilidad en el sistema de login
3) Aprovechamiento de esas credenciales para acceder al sistema
4) Configuración de una cuenta de usuario oculta como puerta trasera para poder volver a acceder al sistema

En el 2000 el proceso que repetíamos una y otra vez era:
1) Exploración de los servicios abiertos
2) Localización de una vulnerabilidad en estos servicios
3) Lanzamiento de un exploit que permitía ejecutar comandos en el sistema
4) Acceso al equipo mediante una shell bindeada a un puerto
5) Configuración de un servicio de red oculto como puerta trasera para poder volver a acceder al sistema

Y en el 2010 seguimos por el mismo camino pero con distintas tecnologías:
1) Exploración de aplicativos web
2) Localización de una vulnerabilidad web
3) Aprovechamiento de esta vulnerabilidad para ejecutar código en el sistema
4) Upload al servidor web de una pequeña aplicación oculta como puerta trasera para poder acceder al sistema

Estos procesos son solamente un “breve” ejemplo de las metodologías y pruebas que solemos realizar en un Pentest. Pero su evolución demuestra el rápido cambio que se ha producido en el mundo de la seguridad.

Y aquí continuamos, actualizando y mejorando nuestras técnicas y herramientas, adaptándonos y tratando de adelantarnos al futuro. Quién sabe si algún día nos tengamos que limitar solo a auditar el cumplimiento de las normativas de seguridad, sin tener que llevar siempre encima nuestro portátil y nuestro kit de herramientas de ataque.

¿Pero quién asegurará entonces que una red o sistema tiene implementada las medidas de seguridad correctamente y puedan contener un ataque?

Ramón Pinuaga y Christian Martorella
Dept. Auditoria S21sec

PD: Perdón por el abuso de anglicismos en el texto. Pero, qué sería de los Pentesters sin nuestra horrible jerga...

4 comentarios:

Sorani dijo...

Vamos que casi es un modo de vida, ¿no?

Lo que ocurre es que cambia el entorno y entonces hay que adaptarse a los nuevos tiempos... ¡como los viejos rockeros!

Pues solo hay que decir, ¡felicidades!... Y a seguir otros 10 añitos más, ¿no?

Blog de Pablo dijo...

Hola buenas tardes, muy bueno el blog, la verdad muchas cosas interesante. Me gustaria saber mas sobre estos temas en español, no se si tendras algun manual sobre como hacer pentest, estoy en el area de sistemas y mi objetivo es poder realizar uno para ver que tan vulnerable es.
Si saben de algun seminario de seguridad, o eventos me gustaria poder participar para poder aprender un poco mas.
desde ya muchas gracias.

saludos.

rpinuaga dijo...

Es dificil resumir en unas pocas lineas donde puedes aprender a hacer Pentest.

Puedes empezar mirando documentacion de seguridad de los sistemas que quieres analizar.

Tambien puedes empezar con las metodologias estandar de analisis de seguridad, p.e. OSSTM o ISSAF.

Pero sobre todo es cuestion de practica. Visita foros de seguridad o de hacking y practica en un entorno controlado con las herramientas que se van comentando.

No es algo que se aprenda en unas pocas horas, pero con el enfoque adecuado puedes empezar a descubrir cosas interesantes pronto.

Un saludo

Mario Díaz dijo...

Hola Ramón,

Los usuarios y contraseñas débiles siguen dando tan buenos resultados como antes, sobre todo en el correo electrónico :). Un saludo!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login