Pentesting, o cuando las herramientas son un medio, no un fin.

Mucha gente me pregunta habitualmente acerca de qué aplicaciones pueden usar para iniciarse en el mundo del «Pentesting» (Tests de penetración o intrusión, en sistemas remotos normalmente y también en entornos locales), no está de más recordar que las herramientas son muy importantes, pero sólo son un medio, no un fin.

Lo que sucede con estos temas es que la realidad aquí casi siempre supera a la ficción, o a esa parte en la que el típico scanner de turno, revela unos resultados negativos para el host analizado. A partir de ahí, comienza una labor que va mucho más allá de las gráficas de Nessus por citar un ejemplo.

Si hablamos de pruebas «a ciegas» (sin acceso local al sistema a analizar), ciertos banners, huellas o «fingerprint» del sistema operativo, servicios y versiones corriendo en la máquina, pueden estar modificados y hay que saber discernir entre los «falsos positivos» y la realidad. Puede suceder lo mismo con la topología de la red cuando intentas hacer un esquema de ella.

En el caso de un test con acceso físico o remoto a la máquina o red a auditar, te encuentras muchas veces con situaciones en las que tal y como comentamos Sergio Hernando y quien suscribe en un podcast especial sobre seguridad (habrá otro), en ocasiones no es posible parchear y parar un entorno en producción ya que ahí suele prevalecer el «uptime» y la productividad frente a la «posibilidad de» (que suceda algún desastre informático).

En el día a día de mi labor como consultor freelance y de la que llevo a cabo como responsable del área de hacking ético en APACHEctl, creo que lo que más cuesta, es hacer llegar bien el mensaje. Un buen estudio previo de los problemas y necesidades de la empresa, conseguir llegar a las personas adecuadas, ponerte en su lugar y no pretender que las cosas se hagan como a ti te gustarían, sino como realmente son (que sí, no somos los protagonistas) y cuando acabes tu trabajo poner en marcha un plan de actuación adecuado, es fundamental para que tu análisis no caiga en el olvido. Pero eso sí, actúa siempre con valentía y defendiendo tu trabajo y profesionalidad.

Algunos podrán pensar «bueno, yo he cobrado mi auditoría, he reportado y ahora ellos verán«. Craso error, si no das un valor añadido y las medidas necesarias a poner en marcha no se llevan a cabo, considéralo un fracaso ya que sí, habrás cobrado, pero será difícil que vuelvan a llamarte, tu informe quedará como un «ahh sí, algo hicimos con ellos pero no sirvió para nada». Esto no quiere decir necesariamente que hayas hecho mal tu trabajo, sino que no ha sido lo que tu cliente necesitaba…

Puedes ser muy bueno en la fase de reconocimiento, localizar vectores de ataque y revelación de brechas de seguridad, pero por muy frustrante que pueda parecer, si lo que haces no tiene un fin aplicable, con el «sistema hemos topado». Si ya tenemos un hándicap de base como lo es el que se invierte mucho en «Social Media» y en seguridad lo «justamente imprescindible» o «cuando no queda más remedio», nuestro esfuerzo debe ser mayor aún y el objetivo es conseguir que de nuestro análisis previo, salga un segundo trabajo que no es otro que implantar las medidas adecuadas para paliar los problemas localizados.

Así que el mejor consejo que humildemente te puedo dar, desde la experiencia y algún palo que profesionalmente he podido llevarme, es que las herramientas de auditoría son sólo un medio, el «fin» es que sepas o consigas hacer llegar de forma adecuada el mensaje dentro de entornos muchas veces un tanto «hostiles» hacia tu trabajo. En lugares donde hay mucho «miedo al cambio» o simplemente «tu verdad duele«, conocer las políticas de actuación o cómo es la toma de decisiones e idiosincrasia de la empresa, son casi más importantes que tu certeza con Nmap.

Y tampoco olvides que el primero que debe valorar su trabajo eres tú, por mucho que haya tanta crisis y las cosas estén complicadas, no caigas en el error de devaluarte a ti mismo. El precio es importante, pero también es un medio, conseguir el cliente, la calidad y profesionalidad, un fin, mantenerlo.

Mucha suerte ahí fuera -;).

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

Comentarios cerrados.