En la actualidad, los servicios de auditorías de seguridad ya se encuentran completamente instaurados en muchos procesos corporativos y, afortunadamente, en normativas que exigen a determinadas empresas realizarlas en forma periódica. De este modo, este peculiar segmento de la seguridad informática sigue creciendo y captando nuevos profesionales que se dedican a poner en jaque la seguridad de los sistemas adoptando distintas perspectivas.
Sin embargo, como en toda práctica, podrían cometerse algunos errores que podrían poner en riesgo la calidad de los trabajos. A lo largo de este post, haremos un top 10 de las problemáticas o errores más habituales a las cuales comúnmente se enfrentan las personas que realizan auditorías. Si eres nuevo en el mundo del pentesting, te serán muy útiles; en caso de ser un especialista veterano, seguramente te habrás topado más de una vez con un dolor de cabeza ligado a algunas de las situaciones que detallaré a continuación.
Los ítems no están ordenados por criticidad, sino que consultando con varios colegas fueron los puntos que mayor cantidad de coincidencias tuvieron.
1) Confundir el alcance
Es común que los auditores se encuentren trabajando en múltiples proyectos y, a pesar de que esto puede ser apasionante, puede ocasionar que se olviden agregar a las pruebas algunos equipos e inclusive sistemas. También puede ser el propio cliente quien excluya del pedido de análisis un equipo o sistema, por lo que el alcance se debe definir claramente entre ambas parte.
De lo contrario, cometer este error puede ocasionar pérdida de tiempo y recursos en la investigación.
2) Mala ejecución de las herramientas
Este error puede generar resultados imprevistos, como el cierre inesperado de una aplicación, que haría perder toda la información capturada. Por eso, habilitar las opciones de autoguardado es muy importante.
Además, lanzar herramientas sin parametrizarlas correctamente (out of the box) podría impactar en la performance o dejando fuera de servicio tanto al sistema objetivo como el propio.
3) Actualización de las aplicaciones utilizadas durante el análisis
De manera correcta, las herramientas son actualizadas periódicamente; sin embargo, en muchas ocasiones una actualización que no haya finalizado de manera apropiada podría dejar inutilizable la aplicación. Es por esto que hacer una actualización en medio de una auditoría podría dejarnos con un reporte por la mitad.
Desde ya, es imprescindible tener las aplicaciones actualizadas, pero lo recomendable es hacerlo antes o después del estudio de campo.
4) Perder excesivo tiempo en busca de la explotación de una vulnerabilidad
Como sabrán, explotar una vulnerabilidad y obtener acceso remoto se siente como haber ganado el desafío. Sin embargo, muchas veces puede ser frustrante no lograrlo. En este caso te recomiendo no centrarte en solo un árbol, sino mirar todo el bosque. Es decir, no te detengas demasiado en una falla en particular.
En muchas ocasiones hay más de un vector de ataque y no tanto tiempo para realizar las auditorías, por lo cual no debes centrarte solamente en una vulnerabilidad.
5) No salir de la zona de confort
Es lógico que te sientas cómodo con las herramientas que utilizas siempre, pero incorporar algunas nuevas o inclusive parámetros ignorados te hará encontrar diferentes vectores de intrusión que sumarán una mayor calidad a tus auditorías. No conocer bien las herramientas o ser inexperto en su uso se traducirá en una gran cantidad de horas del proyecto dedicadas a la investigación personal de cómo hacer las cosas.
Investigar con anterioridad acerca de todas las posibles opciones y las nuevas aplicaciones te mantendrá informado y actualizado, lo cual es un requisito fundamental para dedicarte a esta rama de la Seguridad Informática.
6) No evidenciar
Frecuentemente, sucede que se dan las condiciones en las cuales podemos obtener el acceso remoto o escalar privilegios en determinado sistema, pero al intentar repetirlo para evidenciar la hazaña en una segunda instancia no se consigue. Como consecuencia, no se puede volcar este resultado en un reporte. No almacenar evidencia correctamente, teniendo solo logs parciales de lo realizado, no alcanzará para armar un reporte de manera efectiva.
7) Incluir directamente la salida de las herramientas en el reporte
A menudo visualizamos reportes de auditorías en donde simplemente se ha copiado y pegado de manera cruda y sin personalizar los resultados obtenidos en una herramienta. En muchas ocasiones lo vemos inclusive en otro idioma y, más allá de que a nivel técnico sea comprensible, es poco profesional, sin valor agregado y habla del poco tratamiento o validación que se le ha dado al resultado.
8) No asegurar la persistencia
Asegurar la comunicación entre el atacante y el objetivo es primordial, pero en ocasiones suele ser tentador intentar escalar privilegios sin antes asegurar la comunicación por medio de la persistencia. Podría pasar que no puedas volver a acceder al sitio al cual querías escalar; por lo tanto, antes de subir un nivel, es recomendable asegurar el acceso.
9) Hacer un reporte desordenado
Estaríamos de acuerdo en que generar el reporte es el proceso menos divertido. Sin embargo, debemos entender que al fin y al cabo es nuestro producto final.
En este sentido, ser desprolijo o poco ordenado en los entregables se traduce en una baja calidad de auditoría, lo que ocasionará que el cliente dedique una gran cantidad de horas a tratar de entender lo que se le reporta, o que el auditor las dedique a explicarle todo al cliente.
Para ahorrar ese tiempo, mejor elaborar un informe prolijo y ordenado.
10) No dar referencias
Esta parte de la auditoría es una de las más importantes, principalmente porque podrá ayudar a mitigar el impacto de las vulnerabilidades encontradas, y permite sumar valor agregado al reporte. Sin lugar a dudas, no ayudar a arreglar malas configuraciones o no corregir vulnerabilidades mediante actualizaciones sería un gran error, tanto técnica como comercialmente.
Conclusión
Si bien el pentesting es una apasionante tarea, se debe estar preparado de forma adecuada antes de iniciar un proyecto, tanto con las herramientas técnicas como con las psicológicas, necesarias para tratar con un cliente enfadado por una intrusión en sus sistemas.
Además, se deben respetar ciertos protocolos, como ir vestido de manera formal si la empresa donde se desempeña el cliente tiene ese estilo (por ejemplo, una financiera). De lo contrario, se podría generar una incidencia negativa o despertar sospechas acerca de la seriedad del trabajo realizado.
A lo largo del post desarrollamos algunas de las tantas problemáticas con las cuales la gente de servicios de seguridad o los encargados de IT deben enfrentarse periódicamente. ¿Te animarías a comentar con cuáles te has enfrentado?
