Las herramientas automatizadas y de código abierto pueden ayudarlo a realizar pruebas de penetración de aplicaciones web, redes y bases de datos. Un Penetration Tester a veces llamado Ethical Hacker, es un profesional de la seguridad que lanza ataques simulados contra la red o los sistemas de un cliente para buscar vulnerabilidades. Su objetivo es demostrar dónde y cómo los "Malos Actores" (atacante malicioso) podría explotar la red de destino, lo que permite a sus clientes mitigar cualquier debilidad antes de que ocurra un ataque real.
Para obtener una visión detallada de lo que implican los Penetration Testing, vamos a ver un aspecto específico del oficio del Penetration Tester y las herramientas que utilizan para derrotar las defensas de las empresas. Como era de esperar, estas son en gran medida las mismas herramientas y técnicas empleadas por "Malos Actores" (atacante malicioso).
En los viejos tiempos de antaño, la piratería era difícil y requería muchos cambios manuales. Hoy, sin embargo, un conjunto completo de herramientas de pruebas automatizadas convierten a los "Malos Actores" (piratas informáticos) en Cyborgs, humanos mejorados por computadora que pueden probar mucho más que nunca. Después de todo, ¿por qué usar un caballo y un buggy para cruzar el país cuando puedes volar en un avión a reacción? Estas son las herramientas supersónicas que hacen que el trabajo de un Penetration Tester moderno sea más rápido, mejor y más inteligente.
Herramientas de Penetration Testing
Kali Linux
Nmap
Metasploit
Wireshark
John the Ripper
Hashcat
Hydra
Burp Suite
Zed Attack Proxy
Sql map
Aircrack-ng
1. Kali linux
Si no estás usando Kali Linux como tu sistema operativo base para Pentesting, o bien tienes conocimientos de vanguardia y un caso de uso especializado o lo estás haciendo mal. Anteriormente conocido como BackTrack Linux y mantenido por la buena gente de Offensive Security (OffSec, la misma gente que dirige la certificación OSCP), Kali está optimizado en todos los sentidos para el uso ofensivo como probador de penetración.
Aunque puedes ejecutar Kali en su propio hardware, es mucho más común ver a los Pen Testers utilizando máquinas virtuales Kali en OS X o Windows.
Kali viene con la mayoría de las herramientas mencionadas aquí y es el sistema operativo de pentesting por defecto para la mayoría de los casos de uso. Sin embargo, hay que advertir que Kali está optimizado para el ataque, no para la defensa, y es fácil de explotar a su vez. No guardes tus archivos extra secretos en tu Kali VM.
2. Nmap
El abuelo de los escáneres de puertos, nmap (abreviatura de network mapper), es una herramienta de Pentesting de probada eficacia de la que pocos pueden prescindir. ¿Qué puertos están abiertos? ¿Qué se está ejecutando en esos puertos? Esta es una información indispensable para el Pen Tester durante la fase de reconocimiento, y nmap es a menudo la mejor herramienta para el trabajo.
A pesar de la histeria ocasional de un ejecutivo no técnico de la C-suite de que alguna parte desconocida está escaneando el puerto de la empresa, nmap por sí mismo es completamente legal de usar, y es similar a llamar a la puerta principal de todos en el barrio para ver si hay alguien en casa.
Muchas organizaciones legítimas, como las agencias de seguros, los cartógrafos de Internet como Shodan y Censys, y los calificadores de riesgo como BitSight, escanean regularmente todo el rango de IPv4 con software de escaneo de puertos especializado (normalmente los competidores de nmap, masscan o zmap) para mapear la postura de seguridad pública de las empresas, tanto grandes como pequeñas. Dicho esto, los "Malos Actores" también escanean puertos, así que es algo que hay que registrar para futuras referencias.
3. Metasploit
¿Por qué explotar cuando se puede metaesplotear? Este meta software apropiadamente llamado es como una ballesta, apunta a tu objetivo, elige tu exploit, selecciona una carga útil y dispara. Indispensable para la mayoría de los Pen Tester, Metasploit automatiza una gran cantidad de esfuerzos que antes eran tediosos y es realmente "el marco de trabajo de Penetration Testing más utilizado del mundo", como dice su sitio web. Metasploit, un proyecto de código abierto con el apoyo comercial de Rapid7, es una herramienta imprescindible para que los defensores protejan sus sistemas de los atacantes.
4. Wireshark
Wireshark, ahora que hemos hackeado tu cerebro para que tararee esa melodía (¿ves lo fácil que era ese compromiso?), este analizador de protocolos de red será más recordado. Wireshark es la herramienta omnipresente para entender el tráfico que pasa por tu red. Aunque se utiliza comúnmente para profundizar en los problemas de conexión TCP/IP de cada día, Wireshark soporta el análisis de cientos de protocolos, incluyendo el análisis en tiempo real y el soporte de descifrado para muchos de esos protocolos. Si usted es nuevo en las Penetration Testing, Wireshark es una herramienta que debe aprender.
5. John the ripper
A diferencia de su homónimo, John the Ripper no mata en serie a la gente en el Londres victoriano, sino que descifra el cifrado tan rápido como su GPU. Este descifrador de contraseñas es de código abierto y está pensado para descifrar contraseñas sin conexión. John puede utilizar una lista de palabras de contraseñas probables y mutarlas para reemplazar la "a" por la "@" y la "s" por el "5" y así sucesivamente, o puede funcionar durante un infinito con hardware muscular hasta que se encuentre una contraseña. Teniendo en cuenta que la gran mayoría de la gente utiliza contraseñas cortas y de poca complejidad, John suele tener éxito a la hora de romper el cifrado.
6. Hashcat
Puede que la autoproclamada "utilidad de recuperación de contraseñas más rápida y avanzada del mundo" no sea modesta, pero la gente de Hashcat sí que sabe lo que vale. Hashcat le hace la competencia a John the Ripper. Es la herramienta de Pentesting para descifrar hashes, y hashcat soporta muchos tipos de ataques de fuerza bruta para adivinar contraseñas, incluyendo ataques de diccionario y de máscara.
Las Penetration Testing suelen implicar la exfiltración de contraseñas con hash, y la explotación de esas credenciales implica la utilización de un programa como hashcat fuera de línea con la esperanza de adivinar o forzar al menos algunas de esas contraseñas.
Hashcat funciona mejor en una GPU moderna (lo siento, usuarios de Kali VM). El hashcat heredado todavía soporta el craqueo de hash en la CPU, pero advierte a los usuarios que es significativamente más lento que el aprovechamiento de la potencia de procesamiento de su tarjeta gráfica.
7. Hydra
El compañero de John the Ripper, Hydra, entra en juego cuando necesitas descifrar una contraseña en línea, como un inicio de sesión SSH o FTP, IMAP, IRC, RDP y muchos más. Apunte con Hydra al servicio que desea descifrar, pásele una lista de palabras si lo desea y apriete el gatillo. Herramientas como Hydra son un recordatorio de por qué limitar los intentos de contraseña y desconectar a los usuarios después de un puñado de intentos de inicio de sesión pueden ser mitigaciones defensivas exitosas contra los "Malos Actores".
8. Burp suite
Ninguna discusión sobre herramientas de Pentesting está completa sin mencionar el escáner de vulnerabilidades web Burp Suite, que, a diferencia de otras herramientas mencionadas hasta ahora, no es ni libre ni gratuita, sino una herramienta cara utilizada por los profesionales. Aunque hay una edición comunitaria de Burp Suite, carece de gran parte de la funcionalidad, y la edición empresarial de Burp Suite cuesta 3.999 dólares al año.
Sin embargo, hay una razón por la que pueden salirse con la suya con esos precios tan altos. Burp Suite es un escáner de vulnerabilidad web increíblemente eficaz. Apunta a la propiedad web que quieres probar y dispara cuando esté listo. El competidor de Burp, Nessus o Outpost24, ofrecen un producto igualmente efectivo o mejor y de precio similar.
9. Zed attack proxy
Aquellos que no tienen el dinero para pagar una copia de Burp Suite encontrarán que Zed Attack Proxy (ZAP) de OWASP es casi tan efectivo, y es software libre y gratuito. Como su nombre sugiere, ZAP se sitúa entre su navegador y el sitio web que está probando y le permite interceptar (también conocido como hombre en el medio) el tráfico para inspeccionar y modificar. Carece de muchas de las campanas y silbatos de Burp, pero su licencia de código abierto hace que sea más fácil y más barato de implementar a escala, y es una buena herramienta para principiantes para aprender lo vulnerable que es el tráfico web. El competidor de ZAP, Nikto, ofrece una herramienta similar de código abierto.
10. Sqlmap
¿Alguien dijo SQL Injection? Pues hola, sqlmap. Esta herramienta de SQL Injection increíblemente eficaz es de código abierto y "automatiza el proceso de detección y explotación de los fallos de SQL Injection y la toma de control de los servidores de bases de datos", tal como dice su sitio web. Sqlmap soporta todos los objetivos habituales, incluyendo MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB y H2. Los veteranos solían tener que elaborar su SQL Injection con una aguja caliente en su disco duro. Hoy en día, sqlmap le quitará el trabajo a su trabajo de Pentesting.
11. aircrack-ng
¿Qué tan seguro es el Wi-Fi de su cliente (o el Wi-Fi de su casa)? Descúbrelo con aircrack-ng. Esta herramienta de auditoría de seguridad wifi es gratuita/libre, pero la lata de Pringles tendrás que adquirirla por tu cuenta. Crackear el Wi-Fi hoy en día es a menudo posible debido a una mala configuración, malas contraseñas o protocolos de encriptación anticuados. Aircrack-ng es la opción a la que recurren muchos, con o sin una antena Pringles.
Tipos de Penetration Testing
Algunas de las herramientas que hemos analizado aquí son virtuales navajas suizas que pueden ayudarle a realizar diferentes tipos de Pen Tests, mientras que otras son más especializadas. Veremos las categorías en las que se encuadran nuestras herramientas elegidas, y también mostraremos algunas de las mejores del resto de herramientas de penetración que hay disponibles para descargar.
Penetration testing de redes
Los "Malos Actores" (hacker maliciosos) se pasa el día irrumpiendo en redes a las que no pertenecen, por lo que un Pen Tester necesita herramientas que le ayuden a acceder a la infraestructura de red de sus objetivos. De nuestras principales selecciones, Kali Linux, nmap, Metasploit, Wireshark, John the Ripper y Burp Suite entran en esta categoría. Otras herramientas populares de pruebas de penetración en la red incluyen el programa de manipulación de paquetes Scapy; w3af, un marco de ataque y auditoría; y los escáneres de vulnerabilidad Nessus, Netsparker, Acunetix y Outpost24.
Penetration testing de aplicaciones web
Las aplicaciones orientadas a la web son una de las principales superficies de ataque que cualquier organización necesita asegurar, por lo que un Pen Tester querrá centrar una buena cantidad de energía allí para evaluar realmente la seguridad de su objetivo. Nmap, Metasploit, Wireshark, Jon the Ripper, Burp Suite, ZAP, sqlmap, w3af, Nessus, Netsparker, Acunetix y Outpost24 pueden ayudar en esta tarea, al igual que BeEF, una herramienta que se centra en los navegadores web; los escáneres de vulnerabilidad de aplicaciones web Wapiti, Arachni, Vega y Ratproxy; Diresearch, una herramienta de línea de comandos diseñada para forzar directorios y archivos en servidores web; y Sn1per, un marco de Penetration Testing "todo en uno".
Penetration testing de bases de datos
Si el objetivo de los "Malos Actores" (piratas informáticos) es filtrar datos valiosos, esas joyas de la corona suelen estar escondidas en alguna base de datos, por lo que es importante que un especialista en Penetration Testing cuente con herramientas para abrir las cerraduras. nmap y sqlmap son herramientas importantes para este fin. También lo son SQL Recon, un escáner activo y pasivo que se dirige específicamente a todos los Microsoft SQL Server de una red e intenta identificarlos, y BSQL Hacker, una herramienta automatizada de SQL Injection.
Penetration testing automatizado
Encontrar cada posible vulnerabilidad en un sistema objetivo a mano podría llevar años. Muchas herramientas de Pen Testing tienen funciones de automatización incorporadas para acelerar el proceso. Metasploit, John the Ripper, Hydra, Sn1per y BSQL Hacker destacan en este sentido.
Penetration testing de código abierto
Los Penetration Testing tienen sus raíces en un mundo de hacking que está profundamente invertido en el movimiento de código abierto. Todas nuestras principales herramientas, aparte de Burp Suite, son de código abierto, como Scapy, BeEF, w3af, Wapiti, Arachni, Vega, Ratproxy y Sn1per.
Visión de Inntesec sobre una Cultura de Ciberseguridad
Dado, que el Cibercrimen se ha convertido en un gran negocio y parece que ningún lugar del mundo ha salido indemne de esta creciente amenaza. Sólo hay que echar un vistazo a los titulares para leer sobre los últimos ciberataques, las violaciones de datos y el caos global que está siendo infligido por esta ola de crímenes digitales. Según un estudio realizado por Ponemon Institute sobre la Ciberseguridad para las Empresas, señala que continúa la tendencia sobre el aumento de los ciberataques y las violaciones de datos (data breach), revelando que las organizaciones no están preparadas para hacer frente a los riesgos e incidentes de seguridad. Una de las principales conclusiones de esta investigación es que en los últimos años ha habido un aumento significativo de las Empresas que han sufrido una violación de datos provocando pérdidas económicas o daño a su reputación, siendo la tecnología y el factor humano los principales vectores.
Cómo construir un plan estratégico de ciberseguridad
Independientemente de las amenazas a las que se enfrente la Empresa, tomarse el tiempo necesario para identificar correctamente los riesgos enfocados en el ámbito de un “Marco Tecnológico” ayudará a elaborar una mejor estrategia y visión que ayude con el Plan Estratégico de Ciberseguridad.
Cuando hablamos que el Plan Estratégico de Ciberseguridad debe estar sobre la base del entendimiento de ejes estructurales en el ámbito del “Negocio, Normativo y Tecnológico” nos referimos a la evolución que el negocio tiene en el tiempo y cómo debemos generar una hoja de ruta que nos permita tener una visión clara de lo que la Empresa debe realizar, en cuanto tiempo, que recursos económicos y humanos se requiere para alcanzar este nivel de madurez y proteger el negocio. La siguiente matriz nos da una visión sobre la Evolución del Negocio, el Assessment y los Mitigadores.
Cabe señalar, que para efectos de nuestra visión el objetivo es entregar el servicio Inntesec Vulnerability Assessment que se encuentra dentro del “Marco Tecnológico” y del “Assessment del Negocio”. A través de un servicio específico y/o mensual para las Empresas donde vamos a Analizar las Vulnerabilidades realizando trazabilidad de estas, conociendo el score de riesgo y ejecutar el Plan de Remediación con el propósito de disminuir las vulnerabilidades en el tiempo y los riesgos de seguridad. Posteriormente, la Empresa debe mitigar y corregir las vulnerabilidades a través del Plan de Remediación que posee.
Alianzas estratégicas y creación de nuevos modelos de negocio
En INNTESEC estamos en constante búsqueda de alianzas estratégicas y de creación de nuevos modelos servicios y de negocios que nos aporten valor en materia de Innovación donde buscando resolver problemas reales que tienen las organizaciones, Transformación Digital, motor del crecimiento y la Ciberseguridad como acelerador de confianza, es por tal motivo que esta visión nos permite desarrollar y promover nuestra estrategia de Cyber Security que se encuentra sobre cuatro ejes; Ethical Hacker, Compliance, Security Awareness, Security Solutions & Services. Ecosistema de Servicios entregados desde el Centro de Operaciones Inntesec MMSRS (Management, Monitoring, Support & Response Services).
Inntesec vulnerability assessment services
Es un servicio del portafolio de la vertical de negocio Ethical Hacker y que es parte del Plan Estratégico de Ciberseguridad de INNTESEC. Al preparar nuestra propuesta, nos concentramos en los factores que INNTESEC considera fundamentales para asesorar profesionalmente en el ámbito de la ciberseguridad orientada a conocer el nivel de madurez de seguridad de las Empresas. Tenemos como objetivo dar a conocer nuestra Estrategia de Ciberseguridad que está sobre la base del entendimiento de ejes estructurales como el ámbito de un “Marco Tecnológico” y que busca mostrar una hoja de ruta y el camino a seguir para las Empresas. Además, de mejorar su postura frente a ciberataques y estar preparados para responder rápidamente o resguardar los activos, protegerse de suplantación de identidad, estafas y toda clase de violaciones de datos (data breach) que conlleven a pérdidas económicas, daño de imagen e interrupciones del negocio.
Para crear un Plan efectivo de Vulnerability Assessment las Empresas deben evaluar el panorama de las amenazas e identificar sus principales riesgos. Si los usuarios son capacitados con una formación incorrecta, puede resultar en una sobrecarga de información, o lo que es más preocupante, que la Empresa no asigne el presupuesto necesario y quede vulnerable a los ciberataques. Cada organización tiene un perfil de amenaza diferente, pero algunas de las mayores amenazas en general incluyen el phishing, el malware, la falta de remediación y las malas prácticas de seguridad.
Independientemente de las amenazas a las que se enfrenten las Empresas, tomarse el tiempo necesario para identificar correctamente los riesgos ayudará a elaborar una mejor estrategia y entregar un mensaje que ayude con el Plan de Vulnerability Assessment. Estamos seguros de que la dedicación, el desempeño, la responsabilidad, la experiencia y capacidad de innovación, son fortalezas que diferencian la calidad de nuestros servicios respecto de otras compañías.
El modelo ideal a construir es un plan de vulnerability assessment
El modelo ideal que INNTESEC recomienda para las Empresas así como para toda organización es llegar a construir un Plan de Vulnerability Assessment anual con escaneos e investigaciones bimensuales que permita conocer los riesgos, vulnerabilidades y brechas de seguridad con el objetivo de remediarlos, mitigar los ataques y conocer el nivel de madurez de la organización.
Según el noveno estudio anual sobre el costo de la ciberdelincuencia publicado por Accenture y Ponemon Institute, el costo promedio de la ciberdelincuencia para una organización ha aumentado 1,4 millones de dólares en el último año hasta alcanzar los 13 millones de dólares, y el número promedio de brechas de seguridad (data breach) en el último año ha aumentado un 11%.
Las empresas ya no pueden confiar solamente en las defensas tecnológicas
Nuevas amenazas están surgiendo todo el tiempo y creemos que las Empresas ya no pueden confiar sólo en sus defensas tecnológicas para mantenerse seguro. Los “Malos Actores” (ciberdelincuentes) están utilizando sofisticadas técnicas de ingeniería social para eludir estas defensas y sólo hace falta un usuario que haga clic en un enlace malicioso y ¡se acabó el juego!. Los usuarios son la primera línea de defensa contra los “Malos Actores” (ciberdelincuentes), por lo que es vital que estén equipados con todos los conocimientos y habilidades para proteger su organización. Un programa completo de Concientización sobre Ciberseguridad (Inntesec Security Awareness Services) es la mejor manera de educar al personal y crear una cultura de seguridad, siendo una solución complementaria a Inntesec Vulnerability Assessment Services.
“El Phishing está detrás del 71% de todos los ciberataques en el mundo y el denominador común de los ciberataques es el error humano”.
¿Qué servicio elegir frente a una necesidad o requerimientos de investigación sobre las vulnerabilidades y brechas de la infraestructura y aplicaciones?
Te invitamos a conocer con mayor profundidad nuestra vertical de negocio Ethical Hacker que se encuentra dentro del “Marco Tecnológico” y del “Assessment del Negocio” para tu Empresa. De avanzar con nuestra visión y propuesta de implementar un Plan de Ciberseguridad, las Empresas al contratar nuestros servicios para tener una visión completa no solo de las vulnerabilidades sino también de las brechas de seguridad y los vectores de ataques utilizados por los “Malos Actores” que puedan usar explotando las vulnerabilidades o riesgos de seguridad para llegar a los activos de mayor valor.
Contáctanos a ventas@inntesec.com y conoce sobre nuestro Servicio de Vulnerability Assessment que incorpora Gestión de Vulnerabilidades y Remediación, evaluaremos una PoC sin costo.
Fuente: J.M. Porup y Josh Fruhlinger de SCO, Giovani Becerra de Inntesec