Nimrod’s Sons

Basado en los siguientes artículos se dan diferentes opiniones respecto a las Pruebas de Penetración.

http://www.schneier.com/blog/archives/2007/05/is_penetration.html

http://www.ranum.com/security/computer_security/editorials/point-counterpoint/pentesting.html

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

1) A quien contrato. Un black Hat, un ISS que cobra miles y miles de dólares, o alguna otra empresa que cobra bien tiene buen personal.

Si yo llegara a contratar a cualquiera de los tres cuál de ellos me daría más. Después de unas semanas de trabajo recibo su reporte y resulta que todos ingresaron a mis sistemas pero cada uno por un camino diferente que pasó aquí.

Es importante recordar que un PT o un Hackeo Ético, no te da todas las brechas ni caminos posibles para ingresar al sistema y que existen muchos aspectos importantes para que esto se logre.

Aun que tengas personal capacitado y certificado en lo que quieras, mucho de esto tiene que ver con el feeling y experiencia del equipo involucrado en el proyecto.

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.

Un PT busca por cualquier medio ingresar a un sistema y no siempre es por vulnerabilidades, muchas veces son debilidades (ojo y es muy diferente a una vulnerabilidad), o descuidos. Pero no busca encontrar todos los caminos posibles, más bien busca ingresar a un sistema. Si lo que buscas es mas todos los caminos creo que un AV y un análisis de brechas te acerca más a eso.

3) Ya mucho se ha dicho, un PT es como parchar una llanta, a veces ya se requiere una cámara o incluso cambiar la llanta completa. El modelo de encuentra y parchar es más cara, a tira lo que hay y ponlo seguro desde un principio.

PD. Seguimos explotando vulnerabilidades del siglo paso que triste NO.

Darkslaker

1.- Como cuanto te quieres gastar para saber que tan vulnerable eres!? Porque si me das 2 pesos eso es lo que vas a obtener en el resultado, pero si quieres una prueba donde los alcances lleguen a la definición de los 6 ámbitos de la seguridad según la OSSTMM, pues te va a costar más! Y continuando con la misma metodología dice que se basa en la experiencia y feeling del tester. Entonces por consiguiente no te vas con una empresa patito, para que puedas desmitificar los resultados de tu PT, te informas antes con un experto. Y de acuerdo a tus necesidades decides si lo haces o no! O mejor aún, si estás obligado a ser compliance con SOX , ISO, GWAN , que se yo, es tu perro tu lo bañas!.

2.- Es una pérdida de tiempo, claro si los entregables son ilegibles y no sabes por dónde comenzar atacar el problema, sino eres técnico y solo sabes de números bonitos de finanzas pues requieres al menos de dos reportes por separado.

Si al contrario sabes que tienes bien definidos y difundidos tus procesos y procedimientos, planes de recuperación de desastres, planes de contingencia y de administración de parches, ya tienes al menos un poco menos de que preocuparte. Porque tan solo hablar de actualización de parches es muy tedioso y en estos momentos no sabemos si esta liberándose uno nuevo.

La seguridad física, controles y políticas son ya muy conocidas y enriquecidas con el usuario final, perfecto tienes todavía menos de que preocuparte. Solo que el nuevo elemento de la policía empresarial que te da servicio es muy amigable o mejor aún muy confiado y peor, no conoce como seguir el procedimiento. ¿Qué vas a hacer para remediarlo?

3.- Si en México no se ha registrado un incidente de seguridad grave, es porque los que lo han sufrido no quieren que se sepa, y ya contrataron los servicios outsourcing de expertos.

Falta malicia o decisión en la gente para llevar a cabo un ataque cyber-terrorista, pero de que se puede se puede.

Al menos se de más de uno.

No bastan los dispositivos de seguridad perimetral (IDS; firewall, etc, etc), no basta con dormir sabiendo que hoy no te paso nada. No sabes si despertaras mañana solicitando un Forense para tu sitio web.

Tienes a los mejores administradores de redes y telecomunicaciones, pero no sabes que están descontentos con el mísero sueldo y planean mandarte a la chin..a e irse con la competencia, ahhh y al menos darle unos cuantos de tus secretos o metodologías.

Jajaja, no sabes cuándo va a cambiar tu contraseña! Y no tendrás acceso a tu disco duro cifrado.

Mmm, piensalo. Es necesario un PT? Contratame!

Saludos.

Byte byte

P4r4n01ds.

En general, hacer ROI para seguridad es un terreno pantanoso, ¿Cómo puedes comprobar costos si estamos partiendo de riesgos y no fenómenos determinanticos?, creo que en este sentido la industria de la seguridad de información se parece más a la de las aseguradoras, sin embargo hay diferencias fundamentales que no viene al caso discutir ahora, eso es un tema que se cuece aparte.

Existe un “método” para hacer pen test que me gusta porque sirve para dar un panorama más amplio en cuanto a las vulnerabilidades (y debilidades por qué no?), se denomina “Attack tree” y en él vas construyendo tu vector de ataque PERO también documentas las otras ramas que pudiste haber tomado y se quedaron sin desarrollar por las restricciones de la tarea; a lo mejor un mapa así podría ser de mayor utilidad para un cliente *con idea*.

Me detengo un poco en el asunto del cliente *con idea* porque hay que aceptar la realidad de nuestro mercado -inclusive debemos sacar ventaja de ello, sin dejar de apuntalar el cómo vamos a tratar a un cliente que tenga mucha mayor idea, quizá un cliente extranjero-; en México no se ha evolucionado lo suficiente como para distinguir si un PT sirve o no, es la moda y hay que hacerlos, o es la única manera en que les puedes abrir los ojos en cuanto a qué tan patética es su seguridad – no que realmente vayan a hacer algo al respecto, pero ya tendrán a quién señalar y echar culpas-; en ese sentido los PT’s están que ni mandados a hacer en el contexto particular en el que estamos ahora, México 2007.

David Guitierrez

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.
Tal vez lo que debo buscar es más que tipo de vulnerabilidades, debilidades, o descuidos tengo.

Entiendo que hay más de una forma de entrar a un servicio.
Pero si a todos los servicios entro por que faltan parches.
Me dice que como compañía debo concentrarme más en actualizar mis sistemas.

Si muchos de mis servicios son comprometidos por descuidos. Me dice que debo mejorar mi control de Calidad.

Si muchos son por Ingeniería Social, tal vez debería concentrarme más en capacitación.

Y me da un norte, de por donde se necesita invertir más respecto a la seguridad de la compañía.

Eso también se puede hacer con auditoría de procesos?
Si, pero ahí estas en operación normal.

En un Pen-Test, estas estresando al sistema.
Estresando al sistema salen más detalles que, en la operación normal, parecían correctos o normales.

Ahora que, si en el PT, solo damos un diagnostico de: “apestas ó tal vez apestas” pues como comenta el documento, no te sirve de mucho.

Lo que para mí es claro es, que es sólo una herramienta más de diagnostico, junto con la consultoría y auditoría. Después del diagnosticó debería de haber un plan de mejoría y remediación.

Extrapolando a medicina:
Puedes tener un check up normal (entrevistas),
Puedes hacer una prueba de esfuerzo para estresar el sistema (pen-test) para que salga algo que a simple vista no vez.
Te dice que andas mal necesitas dieta, hacer ejercicio y tomarte una pastillas carísimas. (Diagnostico y plan de mejoría/remediación)
Y te vale ma…s o menos un cacahuate y no haces nada. (No sigues los
quickhits)

Entonces sale la duda: ¿para que Jingados te hiciste el Buto checkup con “Pen-Testing” y todo?

Mhh.. Creo que lo que podemos hacer, es ver como cerrar el vendiendo la remediación.

O como hacer un plan de mejoría remediación.

Fernando Cajeme