Del Penetration Test a la realidad
Autor: MSc. Julio C. Ardita (
[email protected])
Resumen: Analizar la evolución de las metodologías y técnicas de Penetration
Test (Evaluación de la Seguridad) desde sus comienzos hasta llegar al día de
hoy, determinar que problemática enfrenta y que trata de resolver, describir cual
es la utilización real del mismo y que futuro tiene esta técnica.
Introducción
Los Penetration Tests (PT) se encuentran de moda en todo el mundo y debido a
su rápido avance no existen metodologías ni estándares oficiales adoptados sobre
los mismos. Las
técnicas y metodologías de PT van avanzando con
la
investigación a nivel mundial de diferentes equipos y personas y con Internet como
medio de comunicación.
Hoy, existen cientos de empresas y personas que realizan PT diariamente con
metodologías parecidas y a veces con resultados totalmente diferentes, debido a
que no existe una profesionalización en el área.
¿Qué es el Penetration Test?
Es un conjunto de metodologías y técnicas de intrusión aplicadas sobre un
sistema en un tiempo determinado con el objetivo de conocer el nivel de seguridad
informática real del mismo, detectado y explotando vulnerabilidades.
Página 1
Formalmente el Penetration Test es una parte del proceso de seguridad
informática de una organización.
¿Qué no es el Penetration Test?
No es una auditoría de seguridad completa y tampoco es un análisis de
vulnerabilidades de seguridad informática. Según el FFIEC (Federal Financial
Institutions Examination Council) los PT, auditorías de seguridad y análisis de
vulnerabilidades pueden utilizar las mismas herramientas en sus metodologías,
pero la naturaleza de los mismos es diferente.
Historia del Penetration Test
El PT tuvo un nacimiento muy confuso, no se sabe exactamente donde nació, y se
ubicó como una nueva rama dentro de la seguridad informática. Originalmente, los
primeros PT
testeaban redes x.25, conexiones dial-up, accesos remotos,
servidores y servicios internos (raramente correctamente configurados), etc.
Con el nuevo posicionamiento de la seguridad informática y auge de Internet, el
PT fue evolucionando desde sus comienzos hasta llegar a ser algo muy completo
y complejo, que incluye permanentemente nuevas técnicas.
¿Cuál es la realidad del PT?
Hoy el PT enfrenta una realidad muy compleja, debido a la desinformación que
existe. Son muy pocas las organizaciones que tienen en claro para que contratan
Página 2
un PT, que alcance le dan, si están preparadas para recibir los resultados
(normalmente malas noticias) y si realmente valoran el trabajo realizado.
Las recomendaciones que surgen en
los PT en muchos casos no son
implementadas.
Existe un desconocimiento general sobre la “calidad” de un PT y sobre como
“medir” un PT (no si fue exitoso o no, sino si realmente se realizaron las tareas
que corresponden y no quedaron falsos negativos). Esto genera una amplia oferta
que abarca desde estudiantes que corren una herramienta hasta equipos de
expertos con un elevado know-how y experiencia.
¿Dónde se ubica el PT?
El PT forma parte del proceso de la seguridad informática. Su misión comienza
una vez que las políticas de la organización han sido implementadas sobre los
sistemas de
información. Utilizando
técnicas
intrusivas se demuestran
las
vulnerabilidades que ponen en
riesgo
la confidencialidad,
integridad y
disponibilidad de la información. Y nos da un punto de partida sobre el cual
comenzar a ajustar las políticas de la organización.
¿Qué incluye el PT?
En muchos lugares, el PT es sinónimo de PT de Internet, es decir, focalizado en
Internet. La gran mayoría de los documentos, papers y estándares se abocan a
describir como hacer un PT en Internet con lo clásico (arin, whois, ping, traceroute,
nmap, nessus, securityfocus BID e informe).
Página 3
Los PT generalmente se pueden dividir en dos grandes líneas: externos e
internos.
§ Los PT externos apuntar a analizar el nivel de seguridad real de una
organización desde el exterior y deberían incluir módems, centrales telefónicas,
accesos
remotos,
Internet, conexión con sucursales, otras conexiones
externas, redes wireless, etc.
§ Los PT internos se focalizan en analizar el nivel de seguridad real de una
organización a nivel interno, incluyendo análisis de la infraestructura de la red,
estaciones de trabajo, servidores, aplicaciones, etc.
Los PT cada vez son más abarcativos e incluyen nuevos protocolos, equipos,
tecnologías (aplicaciones web, software ERP, SAN, etc) y también incluyen
nuevas
técnicas
(Cross-site-scripting, Sql-injection, Buffer-overflow, Format-
strings y técnicas anti-IDS entre otras).
Vulnerabilidades de seguridad y PT
Las vulnerabilidades de seguridad informática tienen una relación directa con los
PT: mientras se sigan descubriendo nuevas vulnerabilidades, siempre será
necesario realizar nuevos PT.
Existen hoy en día más de 13.000 vulnerabilidades de seguridad informática y
están apareciendo aproximadamente 4.000 más por año, ésto implica que las
organizaciones deben seguir una fuerte política de actualización y mantenimiento
de sus sistemas informáticos. Si una organización no está al día, el PT tendrá un
resultado positivo.
Página 4
El mismo problema se repite con aspectos de configuración de los sistemas y
equipos informáticos, si la organización no realiza la instalación y configuración de
forma adecuada, nuevamente el PT tendrá un resultado positivo.
Conociendo esta problemática, ¿vale la pena realizar un PT al año?, ¿conviene
realizar dos, tres, cuatro, seis PT al año?. Mientras se realicen PT con más
frecuencia, más cerca se estará de cerrar la brecha entre la nueva vulnerabilidad y
la posibilidad que un intruso pueda explotarla.
Los PT brindan un gran aporte a la seguridad informática debido a que muchas
vulnerabilidades son descubiertas durante
la
realización de
los mismos.
Normalmente las empresas de software realizan auditorías de seguridad sobre sus
productos antes de lanzarlos al mercado. Sin perjuicio de eso, la mayoría de las
vulnerabilidades surgen cuando se realizan PT independientes a organizaciones
que comienzan a utilizar estos nuevos productos.
Justificación del PT
¿Por qué una organización decide realizar un PT?. La realidad demuestra que las
razones pueden ser varias:
§ Conocer la situación real de un sistema y mejorarlo.
§ Demostrar los riesgos existentes.
§ Justificar la obtención de más recursos económicos.
§ Verificar que los mecanismos de seguridad se encuentren funcionando
correctamente.
§ Por regulaciones y/o obligación.
Página 5
§ Como un seguro para poder cubrirse ante auditorías.
§ Para poder dormir a la noche.
¿Qué es lo que la organización espera del PT?
Formalmente la organización espera conocer los riesgos a los cuales se ven
sometidos los sistemas informáticos.
La experiencia demuestra que la mayoría de las veces, las empresas que piden
PT están en un cierto grado de maduración en relación a la seguridad informática.
Salvo algunos casos, las organizaciones esperan que los resultados del PT sean
positivos para ellos (es decir que esté todo bien y no se encuentre nada). Pero la
mayoría de las veces las organizaciones no están preparadas para recibir malos
resultados.
¿Cómo es visto el PT dentro de la organización?
Las organizaciones están compuestas por personas, con lo cual cada área de la
organización va a tener su visión del PT ligada también a que área fue la que lo
solicitó. Se han definido cuatro categorías: CEO, Seguridad Informática, Gerente
de Sistemas, Técnicos y Auditoría Interna de Sistemas.
Normalmente se genera una “competencia” que aunque en la teoría no se
demuestre, en la práctica es un tema de orgullo en relación a los sistemas
informáticos. Pasa por un aspecto psicológico de que otra persona critique “algo”
que “es mío”.
Muy pocas veces se ve al PT como una ayuda.
Página 6
La gran mayoría de las veces, el PT genera “mucho” nuevo trabajo para poder
corregir los problemas que se detectan.
¿Qué pasa luego del PT?
Luego de presentados los informes técnicos sobre el resultado del PT se genera
una nueva problemática: la correcta aplicación de las recomendaciones emanadas
de los informes. La frase “del dicho al hecho hay un gran trecho” describe de la
mejor manera esta problemática.
Las recomendaciones muchas veces son redactadas sin tener en cuenta el
entorno operativo, ésto provoca que incluso muchas recomendaciones sean
técnicamente inviables.
En las organizaciones suelen darse dos casos: el área de seguridad informática es
la que implementa los cambios o es la que supervisa al área de soporte técnico
que es quien realiza on-hands los cambios.
En cualquiera de los dos casos, se definen las acciones a seguir (cambio de
parámetros, aplicación de patches, upgrades de versiones, modificaciones al
código, etc.) y luego se comienza con el Plan de Implementación de las mismas.
Luego de varios meses, ¿se han aplicado las recomendaciones propuestas?.
Comentarios de: Del Penetration Test a la realidad (0)
No hay comentarios