Llegamos a ustedes gracias a:



Reportajes y análisis

8 herramientas de pruebas de ataques

Que harán su trabajo

[03/08/2015] Si la probabilidad de que sus activos sean violados por atacantes extranjeros y/o nacionales no lo asusta, no lea este artículo. Si está trabajando en el mismo reino de la realidad como el resto de nosotros, aquí está su oportunidad de redimirse a través de consejos sólidos de prevención por parte de un profesional. CSO habló con el diseñador / programador / aficionado de pruebas de ataques, Evan Saez, analista de inteligencia de ataques cibernéticos, LIFARS, sobre las más recientes y mejores herramientas, además de cómo aplicarlas.

Herramientas de prueba de ataques disponibles

Las herramientas de prueba de ataques en este debate son Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, OWASP ZAP, SQLmap, Kali Linux, y Jawfish. (Evan Saez es uno de los desarrolladores en el proyecto Jawfish). Estas herramientas son la clave para la seguridad de su empresa, ya que son los mismos tipos de herramientas que utilizan los atacantes. Si no encuentra sus agujeros y los sella, ellos van a explotarlos.

Metasploit es un marco con una gran base de programadores aficionados que añaden módulos personalizados, herramientas de prueba que verifican las debilidades en los sistemas operativos y aplicaciones. La gente libera estos módulos personalizados en GitHub y Bitbucket. Bitbucket, así como GitHub, es un repositorio en línea para proyectos de codificación. "Metasploit es la herramienta de prueba de ataques más popular", señala Sáez.

Nessus Vulnerability Scanner es una herramienta popular, basada en firmas, para localizar vulnerabilidades. "Nessus" solo puede comparar las exploraciones con una base de datos de firmas de vulnerabilidad conocidas", añade Sáez.

El escáner de red Nmap permite pruebas de intrusión para determinar los tipos de computadoras, servidores y hardware que la empresa tiene en su red. El hecho de que estas máquinas sean identificables a través de estas sondas externas es, en sí mismo, una vulnerabilidad. Los atacantes utilizan esta información para sentar las bases de los ataques.

Burp Suite es otra herramienta popular de prueba de ataques de aplicación web. Asigna y analiza las aplicaciones web, encuentra y explota vulnerabilidades, según el vendedor de la herramienta de seguridad web Burp Suite, PortSwigger.

OWASP ZAP (Zed Attack Proxy) es la herramienta de prueba de ataques deaplicaciones web sin fines de lucro de OWASP, el proyecto abierto de seguridad de aplicaciones web, por sus siglas en inglés. ZAP ofrece el escaneo automatizado y manual de aplicaciones web con el fin de servir a los novatos y profesionales del campo de pruebas de ataques. ZAP es una herramienta de código abierto que ahora está disponible en GitHub.

Sqlmap automatiza el descubrimiento de agujeros de inyección SQL. A continuación, explota esas vulnerabilidades y toma el control completo de las bases de datos y servidores subyacentes.

Kali Linux es una herramienta todo en uno que comprende un conjunto de herramientas para pruebas de ataques (y de seguridad y medicina forense) pre instaladas y dedicadas. "Cuenta con herramientas para las personas que no tienen conocimientos de seguridad", añade Sáez.

A diferencia de la mayoría de las herramientas, que están basadas en firmas, Jawfish es una herramienta de prueba de ataques que utiliza algoritmos genéticos. "Los algoritmos genéticos buscan cosas en el contexto de la búsqueda", indica Sáez. Sobre la base de criterios de búsqueda, a medida que Jawfish se acerca más a lo que está buscando, en este caso una vulnerabilidad, se puede encontrar un resultado. Jawfish no requiere una base de datos firmada.

Cómo utilizarlas

Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, OWASP ZAP, SQLmap, Kali Linux y Jawfish tienen sus propios usos. La mayoría de las empresas necesitan múltiples herramientas. Metasploit ofrece tanto una interfaz de Ruby y una CLI para que quien realice la prueba de ataques pueda optar por una u otra, dependiendo de lo que esté tratando de hacer. "La interfaz de Ruby es más útil para probar una red muy grande debido que ejecutar comandos en un CLI sería demasiado tedioso", añade Sáez.

Nessus Vulnerability Scanner comprueba las computadoras y los firewalls en busca de puertos abiertos e instalaciones de software potencialmente vulnerable. "En cuanto a las pruebas de ataques, esta herramienta es menos útil, ya que es muy ruidosa y se va por la puerta delantera comunicándose con el sistema operativo para determinar las vulnerabilidades. Esta herramienta se utiliza normalmente en los esfuerzos de cumplimiento para determinar simplemente si los parches están actualizados", señala Garrett Payer, tecnólogo principal en ICF International, un gran proveedor de soluciones tecnológicas.

Aplique Nmap para buscar hosts, puertos abiertos, versiones de software, sistemas operativos, versiones de hardware y vulnerabilidades -a través de un mapeo general de la superficie de ataque de la red. Es útil en cada etapa de la prueba de ataques, siempre que tenga un nuevo conjunto de hosts, puertos y otros recursos para identificar, como por ejemplo al entrar en un nuevo segmento de red. "Esta herramienta tiene una función de secuencias de comandos y es útil para la enumeración de acceso de los usuarios", indica Payer.

Utilice Burp Suite con su navegador para mapear las aplicaciones web. Las herramientas dentro de Burp Suite descubren la funcionalidad de la aplicación y los agujeros de seguridad y luego lanzan ataques personalizados. Burp suite automatiza funciones repetitivas sin perder la elección del usuario, donde el evaluador de prueba de ataques tiene que tener el control de opciones individualizadas para las pruebas. "Esta misma herramienta investiga la escritura cruzada de sitios y otras vulnerabilidades utilizando un proxy", afirma Payer; "Permite cierta transparencia sobre lo que el sitio web en realidad envía al servidor".

OWASP ZAP realiza una serie de análisis y pruebas, incluyendo el escaneo de puertos, escaneo de la fuerza bruta, y fuzzing para identificar el código no seguro. Los evaluadores de ataques utilizan una interfaz gráfica de usuario intuitiva similar a la de una aplicación de Microsoft o de ciertas herramientas de diseño web (como Arachnophilia). Una vez que navega y realiza actividades en un sitio web, ingresa a ZAP de nuevo para ver el código y lo que ocurrió durante esas actividades. Cuando se establece como un servidor proxy, OWASP ZAP controla el tráfico web que procesa. "Esta herramienta es más reciente que Burp Suite, no es tan rica en características, pero es gratuita y de código abierto. Proporciona un subconjunto de características y una interfase gráfica de usuario que son útiles para las personas que acaban de ingresar al campo de las pruebas de ataques de aplicaciones web", señala Payer.

Aproveche Sqlmap para probar los sitios y direcciones URL incorrectamente codificadas que estén conectadas a las bases de datos a través de comandos de Python en una línea de comandos. Si una URL malformada que se enlaza hacia información de base de datos muestra un código de error, entonces, el enlace está sujeto a ataques. Sqlmap se instala en Ubuntu de Linux, dentro de una máquina virtual. "Otra herramienta amigable con el script, SQLmap puede determinar si el programador ha parametrizado las entradas", anota Payer. Si no lo ha hecho, un evaluador de ataques o un atacante podrían enviar un nombre, punto y coma, y un comando de SQL -por ejemplo- y ejecutarlo en la base de datos, y así obtener el control, explica Payer.

Instale Kali Linux y abra cualquiera de las múltiples herramientas de prueba de ataques/ataques que trae consigo. "Kali Linux viene con una gran cantidad de documentación para el usuario", precisa Sáez.

Puede probar la herramienta de prueba de ataques Jawfish utilizando el formulario GUI disponible. Simplemente ingrese una dirección IP al servidor, una dirección web vulnerable a esa dirección IP, luego la vulnerabilidad, el método y el texto meta. La herramienta devuelve el texto meta cuando usted ha hackeado con éxito la dirección. Esta herramienta es totalmente nueva y no está vetada para la adopción empresarial.

Compare, seleccione, utilice y parche

Tendrá que seleccionar las herramientas en función de donde están sus vulnerabilidades más costosas. Una vez que encuentre sus vulnerabilidades, es importante arreglarlas si hay parches disponibles, o asegurarlas si no lo están.