Irrumpir por una buena razón

No todos los piratas informáticos que atacan a las empresas son malos; algunos están siendo pagados por su objetivo para hacerlo. En un servicio conocido como prueba de penetración, una empresa de seguridad intenta acceder o controlar los sistemas de un cliente para descubrir debilidades que podrían ser explotadas por un atacante real.

Buscando problemas: Brian Holyfield, cofundador de Gotham Digital

Ciertos tipos de empresas tienen la obligación legal de someterse a pruebas de penetración, pero muchas otras también están optando por ellas, dice Brian Holyfield, cofundador de Ciencia digital de Gotham , empresa con sede en Nueva York que se especializa en este servicio. Holyfield le dijo a Tom Simonite, Revisión de tecnología Editor de TI para hardware y software, que durante algunos trabajos grandes, Gotham despliega a tres de sus piratas informáticos contra una empresa durante semanas.



NIÑOS : ¿Por qué se necesitan las pruebas de penetración? ¿No podría simplemente decirle a una empresa qué vulnerabilidades buscaría un atacante?

Holyfield: No buscamos vulnerabilidades estándar. La mayoría de las veces buscamos vulnerabilidades a nivel de código en aplicaciones personalizadas. Todo el mundo tiene aplicaciones web ahora, y la realidad es que el cortafuegos hace poco para protegerlos.

¿Con qué tipo de empresas trabaja?

Trabajamos principalmente con proveedores de banca y finanzas, atención médica y software. Se espera que todos los sitios y sistemas que aceptan tarjetas de crédito realicen pruebas si realizan más de un cierto número de transacciones por año. Pero muchas empresas no están obligadas a hacer esto. El mercado más grande al que estamos atendiendo son las empresas que brindan software como servicio. Los clientes les preguntan qué están haciendo para asegurarse de que sea seguro.

¿Los clientes tienen miedo de ofrecerse como voluntarios para ser pirateados?

La primera vez que alguien pasa por esto, hay un nivel de nerviosismo e incluso paranoia. Tenemos que trabajar para que dejen de lado sus egos y comprendan que no es un ejercicio de nosotros contra ellos; no intentamos que nadie quede mal. Cuando termina una prueba de penetración, los clientes generalmente están contentos de haber encontrado el problema antes que el malo.

¿Cuál es un buen ejemplo de vulnerabilidades que ha encontrado?

En un compromiso reciente, comprometimos un sitio web de marketing de una importante institución financiera que se ejecutaba en un servidor web sin parches. Ese servidor se utilizó como un punto de salto para atravesar el firewall y obtener conectividad con los sistemas de su red interna.

Descubrimos que una de las cuentas [tomadas del] servidor web (habíamos descifrado la contraseña) también era un administrador en la bóveda que almacena las contraseñas de todos para esa red. Podríamos iniciar sesión como cualquiera. Una buena lección aquí es que el hecho de que un sistema no sea crítico no significa que el servidor pueda cancelarse desde una perspectiva de seguridad. Una vez que obtiene acceso a la caja del perímetro, normalmente tiene muchas más opciones para atacar sistemas más importantes, ya que ahora está detrás del firewall. La otra lección es la importancia de no usar la misma contraseña en diferentes sistemas.

Una vez finalizado el ataque, ¿qué le presenta al cliente?

Siempre tenemos un informe escrito y capturas de pantalla paso a paso e instrucciones que podemos entregar a un desarrollador y decirle: Así es como se hace. Después de la prueba de penetración, agregamos valor al dejar en claro exactamente lo que se debe hacer. Eso se compara con una auditoría de seguridad clásica que tiende a inclinarse en gran medida hacia las mejores prácticas.

¿Las personas que hacen esto por los buenos son diferentes de los malos?

Requiere no solo habilidades especializadas sino también un cierto tipo de persona. No es que la gente sea buena en su trabajo sino que es su pasatiempo, lo que viven y respiran. Tienen el deseo no solo de descubrir cómo funciona algo, sino también de descubrir cómo usar algo [para un propósito] para el que no fue diseñado.

Hay una línea muy fina entre alguien con esa pasión solo por el interés y el conocimiento y alguien que causará daño o tratará de ganar dinero. Cuando buscamos talento, parte de nuestro proceso de contratación es una verificación de antecedentes muy estricta para buscar un lado oscuro. Ha habido muchos casos en los que conocemos a personas muy talentosas que simplemente no podemos contratar.

¿Las pruebas de penetración se están volviendo más comunes?

Sí, está comenzando a ser mucho más convencional. Una señal de ello es que cada vez es más fácil para las personas obtener el permiso de su proveedor de servicios de Internet, quien tiene que saberlo para que puedan entender que no se trata de un ataque real. Hoy, empresas de infraestructura como Amazon se lo ponen muy fácil. Si está alojado en la nube de Amazon, obtener permiso para una prueba de penetración es tan fácil como completar un formulario simple basado en la Web.

¿Podrían las pruebas de penetración haber preparado a Sony para los recientes ataques en los que se robaron datos de usuarios?

Una prueba de penetración generalmente se enfoca en la puerta de entrada, pero hay un montón de ventanas. Creo que Sony fue en realidad un objetivo específico. La ingeniería social y el spear phishing [la elaboración de mensajes para engañar a una persona en particular para que revele datos confidenciales] podrían haberse utilizado contra personas con acceso a los datos. Probar ataques de ingeniería social es una opción para una prueba de penetración, pero la mayoría de la gente no lo acepta. Ellos ya conocen los riesgos.

esconder