El trabajo de un Penetration Tester (pentester a partir de ahora) es posiblemente uno de los más mitificados en el mundo de la seguridad.
En la última Defcon ha habido una ponencia llamada "Mamma Don't Let Your Babies Grow Up to be Pen Testers - (a.k.a. Everything Your Guidance Counselor Forgot to Tell You About Pen Testing)" que precisamente pretende desmitificar con un poco de humor muchos aspectos de éste trabajo y plantear cosas que muchas personas, antes de empezar a trabajar como pentester, seguramente no se hayan planteado.
Algunas cosas interesantes que se comentan son las siguientes.
- Expectativas
- MS Windows mola (aunque ésto es bastante personal)
- GUI > línea de comandos
- Ganar millones
- Realidad
- GNU/Linux mola (de nuevo, bastante personal)
- Línea de comandos > GUI
- No es una mina de dinero
La autorización del pentest es sagrada, de ninguna manera se pueden sobrepasar los límites. Y por supuesto, los usuarios puede que estén avisados de que se está haciendo una auditoría.
Puede darse la posibilidad de que haya una máquina vulnerable, en la que ejecutando un comando se pueda conseguir root, pero no tienes autorización para hacerlo. ¿A que ya no es tan atractivo?
Deadlines y expectativas del cliente para nada realistas (bueno, ésto no es exclusivo de los pentesters).
Cuando tienes éxito, significa que otro ha errado en su trabajo, ya sea el sysadmin, el administrador de seguridad, el desarrollador de alguna aplicación, ...
Después del pentest hay que documentar todo el trabajo, algo que puede gustarte, o no.
Las cosas cambian, o como ellos dicen, "Scanned today Hacked tomorrow". Es posible que el trabajo perdure lo que dura el pentest.
Aún con ésto, la conclusión que dan sobre éste trabajo es muy positiva, ¡y no es para menos!
Es probable que personas no relacionadas con el mundo de la seguridad informática o aún poco cercanas vean al pentester como a Trinity cuando en Matrix II lanza un Nmap para luego explotar un fallo de SSH que le permite dejar sin luz a toda la ciudad. Nada más lejos de la realidad.
Para los interesados, aquí está la presentación que utilizaron en la ponencia.
1 comments :
Desde mi punto de vista en la lejania (usuario avanzado, aficionado como observador sobre temas de seguridad desde hace muuuuchos años), me gustaría que se comentara si cuando una empresa contrata una auditoria, el mandamas de esa empresa suele ser comprensivo ante los problemas encontrados, el mismo auditor explica que nivel de seguridad se tiene?, como se "mide" esto?, no es lo mismo que te encuentres con log/pass: 1234/1234 o por defecto, que el auditor sea el p*** amo y te llegue con un 0 day.... :).
Publicar un comentario