Geekly articles weekly

Mommy Hackers en un trabajo oficial: lo que hacen los pentesters



"Pentester" - la palabra en realidad no es rusa, prestada. Lo que les viene a la mente a las personas que no son de TI, me temo imaginar. Por lo tanto, nosotros mismos "en Rusia" orgullosamente llamamos "especialistas en pruebas de penetración". ¿Qué más es "penetración" y por qué debería ser probado? En este artículo intentaré abrir el velo del secreto para los no iniciados.

Hay grandes compañías en las que trabajan respetados "tíos". Los trabajan programadores que escriben código y, a veces, cometen errores. Las causas de los errores son comunes: debido a la estupidez, a la pereza o al desconocimiento de la tecnología, y más a menudo debido a la quema de pedos de plazos que no le permiten pensar en la lógica de la aplicación y cubrir el código con pruebas.

En un producto de software, cualquier error es una vulnerabilidad potencial. La vulnerabilidad ya es un riesgo potencial. Y el riesgo es algo malo, y puede perder dinero (en general, puede perder muchas cosas: datos de clientes, propiedad intelectual, reputación, pero todo esto se calcula en dinero).

Y que piensas ¿Los tíos grandes deciden no apresurar a los programadores, llevarlos a cursos de desarrollo seguros, darles tiempo para perfeccionar el código y darles un masaje de pies? Por supuesto que no. Los tíos grandes deciden aceptar estos riesgos (reducir, transferir, asegurar y muchas otras palabras de moda). En general, los programas giran: el lavekha está enlodado. Los piratas informáticos robaron un poco, y todo salió en una secuencia estándar, pero fue por el momento.

Con el tiempo, la cantidad de datos comenzó a crecer significativamente, la arrogancia de los hackers creció aún más rápido. El daño de la piratería comenzó a exceder los límites aceptables. Además, los usuarios comenzaron a darse cuenta del valor de sus datos personales "muy importantes", y luego los "muchachos" abandonaron la política y comenzaron a girar (escuchas telefónicas de altos funcionarios, interrupción de la central nuclear iraní, fraude electoral, libertad de expresión, derecho a la privacidad, derecho al olvido y finalmente "armas cibernéticas").

Todos entendieron de inmediato que la seguridad de la información no es para usted "Khuhra-Mukhra".
Aquí, las personas más respetadas dijeron que, por supuesto, encarcelarían a los piratas informáticos malvados (a los que llegarían), pero todos los demás debían ser responsables de alguna manera de sus actividades y tomar las medidas de seguridad de la información necesarias. Dieron instrucciones, golpearon con un martillo y huyeron.

Un punto importante para el lector: “negocios”, por supuesto, puede decir que su privacidad es muy importante para él, que los datos no serán transmitidos a nadie y que cada persona con una formación especial protegerá toda la información, pero de hecho esto es de poca preocupación para nadie. Los principales motivadores para garantizar la seguridad de la información son las "abuelas", o más precisamente:

  • requisitos reglamentarios (de lo contrario, fuertes multas);
  • evitar que los hackers roben mucho (puede llevar a la bancarrota);
  • mantener una reputación (para que los usuarios crédulos lleven aún más el dinero de la compañía).

En general, al principio nadie se molestó mucho, desarrollaron trozos de papel inteligentes, compraron equipos certificados, contrataron especialistas certificados (o mejor dicho, compraron trozos de papel por su mediocridad), y todo parecía estar seguro a primera vista. Pero como todos entienden, un trozo de papel en la vida real no se despega.

Una vez más, los "tíos inteligentes" se unieron y decidieron: para defenderse de un atacante, debes pensar como un atacante. No necesariamente por sí mismo, puede formalizar este proceso, contratar a personas especialmente capacitadas "en chaquetas", y dejar que se hackeen, y el resultado será un nuevo papel, ¡pero ya un "informe técnico"!

Entonces, un "pentester" de una manera simple es alguien que imita el trabajo de un atacante real, probando así a la organización la posibilidad de penetración (compromiso) y acceso a los activos de información (información confidencial).

¿Cómo hacer la prueba? De donde ¿Dónde penetrar? ¿Qué información obtener? ¿Cuáles son las limitaciones? - todos estos son detalles acordados de antemano.

Desde el exterior, parece que el trabajo es fácil y altamente remunerado, además de que el mercado no está saturado de especialistas, por lo tanto, se está formando la tendencia de que muchos estudiantes quieran convertirse en "hackers geniales" sentados en casa en el sofá y presionando un par de teclas, pirateando gigantes de TI. ¿Pero es así de simple?

Experiencia de vida


Pentester no es solo un probador, es mejor no ir desde el banco de la escuela sin tener experiencia trabajando como empleado de una compañía regular o una compañía vendedora .

Debes ir por la escuela de la vida, ejemplos:

  • explique al contador que la impresora no funciona porque el cable no está conectado a la computadora;
  • explique al director financiero de la compañía que escribir una contraseña en una pegatina en una computadora es muy malo;
  • instale software con requisitos mínimos de 4 Gb en una computadora con 256 MB de RAM;
  • configurar la red corporativa en los enrutadores domésticos para que todo vuele;
  • espere un par de meses para acceder a un sistema de información simple;
  • desarrollar una política de seguridad de la información en un par de días mediante la descarga de "peces" de Internet;
  • pídale a Dios que compile el programa y, sin cambiar nada en el código, obtenga éxito;
  • hacer el trabajo 2 veces más rápido de lo planeado y, en lugar del premio, obtener aún más trabajo;
  • etc.

De lo contrario, su informe completo sin comprender la práctica real y la personalidad del cliente seguirá siendo un hermoso pedazo de papel, y las recomendaciones nunca se cumplirán.

Por lo general, no es difícil encontrar un "agujero" en una empresa multimillonaria, pero sin experiencia de vida, será difícil analizar completamente y descifrar otros sistemas sin comprender:

  • ¿Cómo fue construido? (cualitativamente, o bajo sustancias)
  • Por qué (pereza, presupuesto, condiciones, personal)
  • ¿Qué podría perderse el desarrollador / arquitecto / networker?
  • ¿Por qué nadie es responsable de hackear el sistema? (y sucede)
  • ¿Por qué nadie quiere reparar su vulnerabilidad súper importante? (y sucede)
  • ¿Por qué no se puede solucionar una vulnerabilidad crítica en un par de horas? (tal vez la gente acaba de terminar su jornada laboral y nadie paga por el procesamiento)
  • ¿Qué tan fácil es reparar una vulnerabilidad descubierta? (Tal vez hay soporte para la externalización expirada)
  • Etc.

Requisitos de Pentester


Los requisitos para tal especialista, por supuesto, difieren de los requisitos para el astronauta, no es necesario ser físicamente resistente, generalmente no puede levantarse del sofá por mucho tiempo, pero hay algunos matices propios.

Aquí hay ejemplos de responsabilidades laborales:

  • Pruebas de penetración (pentest):
    • pruebas de penetración externa e interna;
    • análisis de seguridad de aplicaciones web;
    • análisis de seguridad de redes inalámbricas;
    • pruebas de penetración utilizando métodos de ingeniería sociotécnica;
  • Pruebas de penetración como parte del estándar PCI DSS.
  • Desarrollo de informes y recomendaciones sobre las pruebas realizadas.
  • Desarrollo propio y desarrollo de competencias del departamento en materia de seguridad de la información.

Requisitos de muestra:

  • La presencia de una educación técnica superior en el campo de la seguridad de la información.
  • Conocimiento de la administración de sistemas * nix y Windows, servidores web.
  • Conocimiento de protocolos de red (TCP / IP), tecnologías de seguridad (802.1x), así como las principales vulnerabilidades de los protocolos de red (arp-spoofing, ntlm-relay).
  • Conocimiento del trabajo de los protocolos y tecnologías web (http, https, soap, ajax, json, rest ...), así como las principales vulnerabilidades web (OWASP Top 10).
  • Conocimiento del mercado de productos de seguridad de la información (fabricantes, proveedores, competidores, tendencias de desarrollo, características de la demanda, necesidades y expectativas de los clientes).
  • Comprender las tecnologías de seguridad de la información (WAF, VPN, VLAN, IPS / IDS, DLP, DPI, etc.).
  • Experiencia con los programas nmap, sqlmap, dirb, wireshark, burp suite, Metasploit, Responder, Bloodhound.
  • Experiencia con Kali Linux OS.
  • Conocimiento de OWASP, metodologías PCI-DSS.
  • Experiencia en desarrollo en Python, PHP, Ruby, bash, Powershell, Java, C, Assembly.
  • Comprender los conceptos básicos de la ingeniería inversa.
  • El conocimiento de inglés no es inferior al nivel intermedio.
  • Conocimiento de chino (espera pronto).

Más:

  • Experiencia en ingeniería inversa y análisis de malware.
  • Experiencia en la explotación de vulnerabilidades binarias.
  • Disponibilidad de certificados profesionales CEH, OSCP, OSCE, etc.
  • Participación en concursos profesionales (CTF, hackathon, olimpiadas).
  • Participación en programas Bug Bounty.
  • Tener tu CVE.
  • Discurso en congresos profesionales.

De mi mismo:

En este caso, pocas personas están interesadas en el genio técnico-sociophobe técnico; por lo general, se requiere una persona extrovertida aquí, que puede:

  • explicar al cliente lo que realmente quiere y cómo se verá;
  • presentar y proteger correctamente sus acciones y recomendaciones en forma escrita y verbal;
  • si tiene éxito, cree un "efecto sorpresa";
  • en caso de falla, cree un "efecto sorpresa" (las desventajas del pentest son las ventajas de la seguridad de la información);
  • ser resistente al estrés (hace calor, especialmente con trabajo oculto);
  • resuelva tareas a tiempo incluso con proyectos cruzados.
  • estar en una tendencia (oh, sí, estar en una tendencia es la "carga" de todos los profesionales de TI):
    • [No puedes tomarlo y no pensar en el trabajo después del trabajo].
    • Necesidad de evolucionar constantemente.
    • Leer salas de chat en un telegrama, leer blogs extranjeros, leer noticias, rastrear Twitter, leer Habr, ver informes.
    • Aprenda nuevas herramientas, rastree los cambios en los repositorios.
    • Asista a conferencias, hable por usted mismo, escriba artículos .
    • Capacitar a nuevos empleados.
    • Para ser certificado
  • No te quemes.

Filosofía de Pentest


No es necesario pensar que el pentest mostrará todos los problemas, que el resultado será una evaluación objetiva de la seguridad de su información en la empresa (producto).

El pentest solo muestra qué resultado puede lograr un equipo de especialistas específicos en determinadas condiciones (tiempo, lugar, modelo de un atacante, competencias, acciones permitidas, restricciones legislativas, prioridades, fase lunar ) simulando el trabajo de un atacante.

Recuerde: los pentesters no son intrusos reales que pueden combinar robo, piratería, chantaje, soborno de empleados, falsificación de documentos, su influencia y otros factores humanos universales, todo se coordina aquí 100 veces, la carga se controla y todo está al tanto.

Pentest también es suerte. Hoy se las arregló para extraer la contraseña del administrador de la RAM y se dirigió al administrador del dominio para toda la red corporativa, y mañana ya no está allí, y solo el acceso no privilegiado (simple) irá al informe sobre algún servidor antiguo, nadie interesante.

Diferencias de destinos cercanos


Además de los "Pentesters", también hay "Redtimers", "Baghunters", "Investigadores", "Auditores", solo expertos en seguridad de la información: todo esto puede ser una persona, o puede haber diferentes personas, que solo se superponen parcialmente en términos de competencias. Pero trate de "masticar" estos términos un poco:

"Auditor"


A este especialista se le proporcionan todos los documentos, diagramas de red, configuraciones de dispositivos, sobre la base de las cuales se hacen conclusiones y recomendaciones para la organización de acuerdo con los mejores estándares y experiencia del auditor. Debido a la apertura de la información, proporciona la mayor cobertura para todos los procesos de SI y una visión holística de toda la infraestructura.

El auditor rara vez verifica de forma independiente cada entorno de la organización, por lo general, el cliente mismo le proporciona la información, a veces desactualizada o incorrecta.

Es necesario combinar los esfuerzos de los auditores y pentesters para verificar ambos papeles con los procesos comerciales y su implementación en la práctica.

"Investigador"


Pentester en su forma más pura no es un investigador, simplemente no tiene tiempo para esto. Por investigador, me refiero a un especialista que puede levantar una posición, implementar cierto software y examinarlo de arriba abajo durante varias semanas, o incluso meses.

Ahora imagine que está contratando a un especialista para probar su infraestructura corporativa, y él se quedó allí sentado todo el tiempo y estudió el software "enviar Valentine's" instalado en la computadora de uno de los empleados. Incluso si tiene éxito, no está muy interesado en los resultados de su trabajo.

Redimer


Redtim es una filosofía de prueba completamente diferente. Adecuado para empresas con IS maduro, que ya han realizado auditorías y pentests, además de que se han eliminado todas las deficiencias.

Aquí, está más cerca de un atacante real, y el servicio IS de la organización y los servicios aliados ( SOC ...) ya están bajo verificación.

Diferencias de Pentest:

  • Solo unas pocas personas conocen el trabajo, el resto responderá en tiempo real a los ataques.
  • El trabajo se realiza de forma encubierta: puede atacar desde los servidores de la nube por la noche.
  • No es necesario hacer una cobertura de prueba: puede seguir el camino de menor resistencia y encontrar la contraseña en github.com.
  • Rango de exposición más amplio: se puede aplicar 0 días , fijado en el sistema.
  • El trabajo se lleva a cabo durante un largo período (varios meses, un año), no requiere prisa; es aquí donde puede permitirse investigar la infraestructura del cliente en los stands elevados para minimizar el uso de equipos de protección.

Baghunter


Comparar un baghunter con un pentester es incorrecto: es como cálido con suave, uno no interfiere con el otro. Pero para la separación, puedo decir que pentester es más una posición, el trabajo implica una serie de tareas formales bajo un acuerdo con el cliente de acuerdo con la metodología establecida y con la formación de recomendaciones.

Es suficiente para que un baghunter encuentre un agujero en alguien (generalmente de una lista en el sitio) y envíe pruebas de un error (condiciones previas, pasos).

Una vez más, sin acuerdos preliminares, sin aprobaciones: acabo de encontrar la vulnerabilidad y se la envié al cliente a través del sitio (el sitio www.hackerone.com puede servir como un ejemplo del sitio). Incluso puede ver cómo Petya lo hizo en la organización "A" y repetirlo allí mismo en la organización "B". La competencia aquí es alta, y la "fruta baja" se presenta cada vez menos. Es mejor considerarlo como una forma de ingreso adicional para el pentester.

La especificidad del pentest de la empresa integradora


Esta sección puede parecer publicitaria, pero no se alejará de los hechos.

Cada pentest es único a su manera (aunque la técnica puede ser estereotipada). Muchos factores lo hacen único, pero principalmente las personas, un equipo de especialistas, cuyo estilo ciertamente está influenciado por la compañía donde trabajan.

Entonces, por ejemplo, solo Pentent es importante para una compañía, sus resultados solo hacen dinero con esto. La segunda compañía quiere crear fallas específicas durante el pentest para vender su solución protectora. El tercero se centra más en los procesos comerciales interrumpidos para generar una capa completa de problemas y proponer medidas para resolverlos.

Trabajando en una empresa integradora , hablaré sobre las características de nuestros clientes para clientes externos. La especificidad es que:

  • No estamos interesados ​​en realizar un pentest por el bien de un pentest y estirarlo durante varios meses.
  • El trabajo se lleva a cabo en el menor tiempo posible y los resultados apuntan a identificar la imagen real de la seguridad de la información del cliente.
  • Es necesario resaltar los procesos comerciales problemáticos de seguridad de la información probando puntos clave de infraestructura. Entonces, si se detecta un sistema operativo desactualizado en 20 de 20 computadoras, ¿cuál es el punto de mostrar otras 200? A menudo no se requiere una cobertura completa, y ¿quién puede garantizarla?
  • De acuerdo con los resultados del pentest, la compañía puede ofrecer de inmediato realizar una auditoría, desarrollar procesos comerciales, proponer medidas de protección, implementarlas, acompañar y monitorear. En Rusia, no muchas empresas pueden presumir de tal conjunto de oportunidades. Esto es conveniente cuando todo el paquete de servicios puede ser provisto por una compañía con vasta experiencia en tales proyectos.

Desde el punto de vista del empleado, una empresa integradora es una multitud de proyectos de todo tipo de trabajo con clientes pequeños y muy grandes en todo el país. Esta es la presencia de viajes de negocios tanto en Rusia como en el extranjero. Y, por supuesto, trabajando codo a codo en un equipo con auditores, implementadores, ingenieros de mantenimiento, proveedores, etc.

Días laborables


Imagina que ya estás trabajando como pentester. ¿Cómo serán sus días de trabajo?

De lunes a viernes, realiza una “visita externa” del Cliente1 junto con un colega. El trabajo se realiza sobre la base de la experiencia personal y los métodos internacionales, teniendo en cuenta las características específicas del cliente. Lanza escáneres, compila un mapa, verifica con listas de verificación, se corresponde con un colega sobre vulnerabilidades descubiertas.

Al mismo tiempo, otro equipo comienza a llamar a los empleados del cliente, haciéndose pasar por un servicio de seguridad, enviando cartas formidables con archivos adjuntos maliciosos, incluso alguien se va para lanzar unidades flash y colocar carteles en el territorio del cliente.

Esto no es una competencia, aquí no siempre se encuentran vulnerabilidades interesantes, las personas no siempre usan contraseñas por teléfono y el equipo de protección no siempre está configurado como "permeable", por lo que solo una lista de trabajos realizados puede ir al informe, pero no se preocupe, porque cada pentest le enseña algo algo nuevo y muestra interesantes factores humanos.

Un par de veces después de que el cliente borre los datos de entrada, la capacidad de servicio de los servicios se degrada y el trabajo se suspende. Después de los ajustes a las restricciones, continúan. Todo es normal Escribe un reporte.

Luego, se le asigna al “cliente interno” del Cliente2 con un viaje de negocios a la ciudad de N, uno de sus colegas puede probar la aplicación móvil. A su llegada, lo acompañarán a una oficina separada y le proporcionarán un lugar de trabajo. Con calma, conecte el cable de red a la computadora portátil y realice un "pentest interno", de acuerdo con el acuerdo establecido. Quizás capture el controlador de dominio 3 horas después del inicio del trabajo a través de ms17-010 y recopile otros vectores el resto de los días. Quizás ha estado intentando toda la semana "jugar" con la "delegación de autoridad Kerberos" en un par de cuentas recibidas. Los empleados del IB se acercarán a usted y le preguntarán qué han encontrado. Ya después de 15 minutos, espera la pregunta: “¿Y bien? ¿Lograste descifrar algo? ", Aunque nmap ni siquiera se" calentó ". En cualquier caso, generalmente tiene algo para sorprender a los guardias de seguridad, e incluso con una cuenta de la impresora, puede recoger copias de seguridad del servidor de Exchange. Otros informes, historias sobre el "gran viaje" a los colegas, la sorpresa del cliente, muchas recomendaciones e incluso más aclaraciones, pero al final, la compañía realmente comienza a comprender que la seguridad es un proceso, no una medida única, y estará satisfecho con el trabajo realizado.

Luego lo asignan a un equipo rojo, maneja con un colega en un automóvil, se estaciona al lado del banco. Inicie un ataque a Wi-Fi usando una computadora portátil y una antena especial. No eres el GRU, no tienes costra, realmente puedes "agarrar un sombrero" de los guardias impredecibles, por lo que la antena está oculta y tienes una leyenda de que esperas amigos.

Pero ahora se recibe el apretón de manos de Wi-Fi corporativo, y sus colegas en la oficina ya lo han desagregado y han pasado por Internet hasta el buzón del gerente superior. Es un exito. Mayor recopilación de información, informes, presentaciones.

Además, de lunes a viernes, escribe scripts para optimizar parte de su trabajo. Lea las noticias y pruebe nuevas técnicas en el stand. Paralelamente, los antiguos clientes le envían preguntas sobre el trabajo hace un mes.

Unas pocas horas el sábado (se pagan los costos de procesamiento), la prueba de carga se planifica en el cliente, abandona el sitio 10 minutos después del inicio y adivina qué. Escribe un informe sobre los resultados.

Pronto habrá un interesante evento de ASU TP y un viaje a la conferencia de IS a expensas de la compañía. Dejas caer una lágrima de felicidad e insertas una comilla en un nuevo formulario web.

En conclusión


El tema de los pentests no es nuevo, escribieron mucho al respecto y de diferentes maneras (puedes leerlo aquí y aquí ),
Aparecen disciplinas apropiadas en las universidades, se organizan concursos, se llevan a cabo varias conferencias, pero el "hambre" de personal aumenta cada año. Además, la madurez de la seguridad de la información de muchas empresas está creciendo, cada vez aparecen más herramientas de protección de la información y los especialistas requieren competencias altas y versátiles. Será útil para todos los especialistas de TI (sin mencionar los especialistas en seguridad de la información) participar en un pentest real al menos una vez.

Y a pesar de los comienzos de la automatización (un ejemplo aquí ), es poco probable que algo reemplace a una persona competente y viva en los próximos diez años.

Source: https://habr.com/ru/post/459712/

More articles:


All Articles