Test de vulnerabilidad: El scanning automatizado no garantiza la seguridad

3 Nov 2011 en Seguridad

 

En numerosas organizaciones viven confiados porque la vulnerabilidad es comprobada en forma automática. Pero los tests de penetración a la seguridad de la infraestructura de IT muestran que siempre quedan brechas por descubrir.

Hace dos semanas se llevó a cabo una nueva edición de la conferencia de seguridad SecTOR en la ciudad de Toronto, Canadá. Allí presentó sus experiencias una de las divisiones de Trustwave. Se trata de Spider Labs, división que realiza más de 2000 tests de penetración anualmente. El objetivo es detectar riesgos a la seguridad del IT de las organizaciones.
Algunos recursos de auditoría detectan las brechas que podemos calificar de “normales,” mientras que estudios más profundos muestran riesgos de clases mucho más inusuales.
Nicolás Percoco, VP de SpiderLabs, plantea que los scans de penetración deben ir más allá de la superficie y contemplar elementos de lógica del negocio y otras clases de brechas profundamente engranadas en la infraestructura.
Un ejemplo fue el de un test de penetración realizado a una cadena de restaurantes que toma pedidos por Internet. La primer prueba de penetración mostró que la aplicación Web, basada en Java y Flash, no presentaba riesgo para ninguna de las explotaciones conocidas o problemas de inyección de SQL. Pero sin embargo, en el procesamiento de los pagos con tarjeta de crédito, manejados por una tercera parte usando JavaScript, los encargados de la prueba pudieron manipular los pagos a medida que pasaban a esta tercera parte encargada del procesamiento. Se descubrió que faltaba validación JavaScript y, “ajustando el precio de los productos, pudimos recibir comidas por 50 centavos,” comenta el analista encargado de la prueba.
Otra sorpresiva fuente de vulnerabilidad estuvo en una PBX de Siemens. Los investigadores encontraron un campo no protegido y pudieron acceder a las casillas de voz del help desk corporativo. Desde allí, el resto de los ataques fueron basados en ingeniería social. Los investigadores respondían a las llamadas del help desk y obtenían credenciales de usuarios y un creciente acceso a la red.
Un ejemplo más es el de una compañía que utilizaba intensivamente cámaras IP. El test de penetración alcanzó a detectar 20 cámaras vulnerables a través de una indocumentada forma de violar el sistema de autenticación con el nombre de usuario “root” y el password “m.” Una vez que el investigador tuvo control de las cámaras IP, las usaron para observar a gente de la organización ingresando información o discutiendo actividades corporativas. Toda esa información podría ser usada por competidores.
Los tests, además de comprobar qué tanto de puede penetrar la seguridad de una organización, deben establecer lo que esa organización sí es capaz de detectar. La persistencia en el testeo de la penetración es clave para penetrar la seguridad de la misma forma en que lo harían los delincuentes reales. “Hay clases de vulnerabilidad que no son detectadas por una scanner automatizado. Las cosas que solemos encontrar a través del test de penetración manual, siempre terminan arrojando impresionantes resultados,” concluye Percoco.