[08/09/2020] Las pruebas de penetración (o pentesting) son un ciberataque simulado en el que los hackers éticos profesionales irrumpen en las redes corporativas para encontrar debilidades... antes que los atacantes.
Es como en la película Sneakers, donde los consultores hackers irrumpen en sus redes corporativas para encontrar debilidades antes que los atacantes. Es un ciberataque simulado en el que el pentester, o hacker ético, utiliza las herramientas y técnicas disponibles para los hackers malintencionados.
Por qué necesita hacer pentesting
Nuevamente, el pentesting le muestra dónde y cómo un atacante malintencionado podría explotar su red, lo que le permite mitigar cualquier debilidad antes de que ocurra un ataque real.
Según una investigación reciente de Positive Technologies, casi todas las empresas tienen debilidades que los atacantes pueden aprovechar. En el 93% de los casos, los pentesters pudieron violar el perímetro de la red y acceder a la red. El tiempo medio necesario para hacerlo fue de cuatro días. En el 71% de las empresas, un hacker no calificado habría podido penetrar en la red interna.
Las mejores herramientas de pentesting
En los viejos tiempos de antaño, el trabajo de los hackers éticos era difícil y requería de bastante manipulación manual. Sin embargo, hoy en día, un conjunto completo de herramientas de prueba automatizadas convierte a los hackers en cyborgs, humanos mejorados por computadora que pueden probar mucho más que nunca.
¿Por qué usar un caballo y carruaje para cruzar el país cuando se puede volar en un jet? Aquí hay una lista de las herramientas supersónicas que hacen que el trabajo de un pentester moderno sea más rápido, mejor y más inteligente.
Kali Linux: Si no está usando Kali como su sistema operativo de pentesting base, es posible que tenga conocimientos de vanguardia y un caso de uso especializado o que esté haciendo algo mal. Anteriormente conocido como BackTrack Linux y mantenido por el buen personal de Offensive Security (OffSec, las mismas personas que ejecutan la certificación OSCP), Kali está optimizado en todos los sentidos para uso ofensivo como probador de penetración.
Si bien puede ejecutar Kali en su propio hardware, es mucho más común ver pentesters usando máquinas virtuales Kali en OS X o Windows.
Kali incluye la mayoría de las herramientas mencionadas aquí y, por defecto, es el sistema operativo de pentesting para la mayoría de los casos de uso. Sin embargo, tenga cuidado: Kali está optimizado para el ataque, no para la defensa, y a su vez se explota fácilmente. No guarde sus archivos extra secretos en su máquina virtual Kali.
nmap: El abuelo de los escáneres de puertos, nmap (abreviatura de mapper de redes) es una herramienta de pentesting probada y verdadera sin la que pocos pueden vivir. ¿Qué puertos están abiertos? ¿Qué se está ejecutando en esos puertos? Esta es información indispensable para el pentester durante la fase de reconocimiento, y nmap suele ser la mejor herramienta para el trabajo.
A pesar de la histeria ocasional de un ejecutivo de C-suite, que no es técnico, respecto a cómo una entidad desconocida está escaneando el puerto de la industria, nmap por sí solo es completamente legal de usar, y es similar a llamar a la puerta principal de todos en el vecindario para ver si alguien está en casa.
Muchas organizaciones legítimas, como agencias de seguros, cartógrafos de Internet como Shodan y Censys, y evaluadores de riesgos como BitSight, escanean regularmente todo el rango de IPv4 con software de escaneo de puertos especializado (generalmente competidores de nmap, masscan o zmap) para mapear la postura de seguridad pública de las empresas grandes y pequeñas. Dicho esto, los atacantes que se refieren a la malicia también escanean puertos, por lo que es algo para registrar y tener en cuenta como referencia futura.
Metasploit: ¿Por qué explotar cuando se puede meta- explotar? Este meta-software, con el nombre preciso, es como una ballesta: apunte a su objetivo, elija su exploit, seleccione una carga útil y dispare. Indispensable para la mayoría de los pentesters, Metasploit automatiza gran cantidad del esfuerzo, antes tedioso; y es verdaderamente es el "marco de pruebas de penetración más utilizado en el mundo", como lo menciona su página web. Un proyecto de código abierto con el apoyo comercial de Rapid7, Metasploit es imprescindible para que los defensores protejan sus sistemas de los atacantes.
Wireshark: Wireshark es la herramienta ubicua para comprender el tráfico que pasa a través de su red. Si bien se usa comúnmente para profundizar en sus problemas de conexión TCP/IP cotidianos, Wireshark soporta el análisis de cientos de protocolos, incluido el análisis en tiempo real y el soporte de descifrado para muchos de esos protocolos. Si es nuevo en el pentesting, Wireshark es una herramienta que debe aprender.
John the Ripper: A diferencia del homónimo del software, John no asesina en serie a personas en el Londres de la era victoriana, sino que descifrará felizmente el cifrado tan rápido como su GPU lo permita. Este descifrador de contraseñas es de código abierto, y está diseñado para descifrar contraseñas sin conexión. John puede usar una lista de palabras de contraseñas probables y mutarlas para reemplazar "a" con "@" y "s" con "5" y así sucesivamente, o puede ejecutarse infinitamente con hardware muscular hasta que se encuentre una contraseña. Teniendo en cuenta que la gran mayoría de la gente usa contraseñas cortas de poca complejidad, John frecuentemente logra romper el cifrado.
Hashcat: La autoproclamada "utilidad de recuperación de contraseñas más rápida y avanzada del mundo" puede no ser modesta, pero la gente de Hashcat ciertamente sabe lo que vale. Hashcat le da a John the Ripper una buena competencia. Es la herramienta de pentesting para descifrar hashes, y Hashcat soporta muchos tipos de ataques de fuerza bruta para adivinar contraseñas, incluidos los ataques de diccionario y máscaras.
El pentesting comúnmente implica la exfiltración de contraseñas hash, y explotar esas credenciales significa dejar que un programa como Hashcat las suelte fuera de línea con la esperanza de adivinar o forzar al menos algunas de esas contraseñas.
Hashcat funciona mejor en una GPU moderna (lo siento, usuarios de Kali VM). El Hashcat previo aún soporta el descifrado de hash en la CPU, pero advierte a los usuarios que es significativamente más lento que aprovechar la potencia de procesamiento de su tarjeta gráfica.
Hydra: La compañera de John the Ripper, Hydra, entra en juego cuando necesita descifrar una contraseña en línea, como un inicio de sesión SSH o FTP, IMAP, IRC, RDP y muchos más. Apunta a Hydra al servicio que quiera irrumpir, pásele una lista de palabras si quiere y apriete el gatillo. Herramientas como Hydra son un recordatorio de por qué los intentos de contraseñas que limitan la velocidad y la desconexión de los usuarios después de varios intentos de inicio de sesión pueden ser mitigaciones defensivas exitosas contra los atacantes.
Burp Suite: Ninguna discusión sobre las herramientas de pentesting está completa sin mencionar el escáner de vulnerabilidades web Burp Suite que, a diferencia de otras herramientas mencionadas hasta ahora, no es gratuita ni libre, sino que se utiliza una herramienta cara, que es utilizada por los profesionales. Si bien hay una edición comunitaria de Burp Suite, carece de gran parte de la funcionalidad, y la edición empresarial de Burp Suite cuesta 3.999 dólares anuales (ese precio psicológico no hace que parezca mucho más barato).
Sin embargo, hay una razón por la que pueden salirse con la suya con ese tipo de precios sangrantes. Burp Suite es un escáner de vulnerabilidades web increíblemente eficaz. Apunte a la propiedad web que desea probar y dispare cuando esté listo. El competidor de Burp, Nessus, ofrece un producto igualmente efectivo (y de precio similar).
Zed Attack Proxy: Aquellos que no tengan dinero en efectivo para pagar una copia de Burp Suite encontrarán que Zed Attack Proxy de OWASP (ZAP) es casi tan efectivo, y es un software libre y gratuito. Como sugiere el nombre, ZAP se encuentra entre su navegador y la página web que está probando, y le permite interceptar (también conocido como man in the middle) el tráfico para inspeccionar y modificar. Carece de muchas de las campanas y silbatos de Burp, pero su licencia de código abierto hace que sea más fácil y económico de implementar a gran escala, y es una excelente herramienta para principiantes que desean aprender cuán vulnerable es realmente el tráfico web. Nikto, competidor de ZAP, ofrece una herramienta de código abierto similar.
sqlmap: ¿Alguien mencionó inyección SQL? Bueno, hola, sqlmap. Esta increíblemente efectiva herramienta de inyección de SQL es de código abierto y "automatiza el proceso de detección y explotación de fallas de inyección de SQL y se hace cargo de los servidores de base de datos", tal como afirma su página web. Sqlmap soporta todos los destinos habituales, incluidos MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB y H2. Los veteranos solían tener que crear su inyección SQL con una aguja caliente en su disco duro. En estos días, sqlmap eliminará el trabajo pesado de su labor de pentesting.
aircrack-ng: ¿Qué tan seguro es de su cliente Wi-Fi -o su Wi-Fi de casa? Descúbralo con aircrack-ng. Esta herramienta de auditoría de seguridad Wi-Fi es gratuita, pero puede que tenga que adquirir las Pringles por su cuenta. Hoy en día, descifrar el Wi-Fi a menudo es posible debido a una configuración deficiente, contraseñas incorrectas o protocolos de cifrado obsoletos. Aircrack-ng es la opción preferida para muchos, con o sin una "lantenna" de Pringles.
JM Porup, CSO (EE.UU.)