¿Cómo podemos confiar en las herramientas? [cerrado]

-1

Hay una gran cantidad de herramientas para hacer muchas cosas, como olfatear, escanear e incluso puertas traseras. Sin embargo, me cuesta mucho confiar en estas herramientas. Cuando los instalo en casa y apunto a mis computadoras, ¿cómo puedo confiar en que las herramientas que estoy usando no me hacen daño?

  • Ejemplo 1 - Metasploit, especialmente Meterpreter : uso Metasploit. Con un exploit confiable, eso me da una conexión de Meterpreter. ¿Cómo puedo confiar en que Meterpreter, de hecho, hace lo que dice hacer y no abre puertas traseras aquí y allá? Considero que esta herramienta es un estándar de la industria para su propósito en cierto sentido, pero aún así, ¿confías en ella?

  • Ejemplo 2 - Google : Ratproxy es un producto de Google, y eso suena confiable, ¿verdad? También es de código abierto. ¿Pero solo es Google el que lo desarrolla? Probablemente me llevaría un año leer y entender todo el código. ¿Cómo se puede confiar en esto? ¿Confías en ello?

  • Ejemplo 3 - Herramientas en línea : En este momento, uso herramientas en línea para hacer algunas cosas, como la codificación base64. Entonces necesito confiar en la herramienta con JavaScript. Es bastante fácil mirar el código JavaScript, pero llevaría menos tiempo escribir una herramienta de codificador y decodificador Base64 con GUI. Haré esto, pero hasta entonces, solo tengo que confiar en estas herramientas. ¿Cómo confías en herramientas similares? ¿Usted?

  • Ejemplo 4 - Burp Suite : Burp Suite realmente parece ser la herramienta # 1 "HTTP-proxy y más" para usar, pero es propietaria y No es de código abierto. Está escrito en Java, pero probablemente se ofuscó correctamente, por lo que no podemos saber exactamente qué hace. ¿Digno de confianza? "¡Por supuesto, úsalo! Todos mis amigos lo usan ..." !?

  • Ejemplo 5 - Paquetes : hay algunos paquetes de herramientas de seguridad por ahí. Específicamente, me gustaría hablar sobre Kali / Backtrack. Viene con muchas herramientas. ¿Confías en su selección de herramientas? ¿Confías en la propia empresa? Por supuesto, con esa cantidad de herramientas, no pueden saberlo todo acerca de todas las herramientas, pero creo que son personas inteligentes, entonces la pregunta es si solo agregaron las herramientas en las que confían ellos mismos o simplemente agregaron todo lo que sus usuarios ¿Le gustaría ver en el paquete / distribución?

Discutan en torno a esos ejemplos y quizás presenten sus propios ejemplos. ¿En qué herramientas deberíamos confiar? ¿Por qué? ¿Cuál es tu definición de confianza? El mío es que lo ejecutaría en mi propia computadora de escritorio (no en VM).

EDITAR: Además, ¿cómo podemos distinguir entre las herramientas que se crearon con las siguientes filosofías?

  • "Haré esta herramienta porque odio a los chiquillos de script, así que los dañaré y los usaré para mis propios propósitos". y

  • "Haré que esta herramienta me facilite la vida como investigador de seguridad y probador de lápiz, y si es buena, la compartiré con la comunidad".

pregunta David from earth 02.08.2013 - 21:14
fuente

2 respuestas

5

La respuesta simple es que no puede garantizar nada a menos que revise el código, el compilador, la compilación, el sistema operativo del sistema en el que lo está ejecutando, el diseño y la implementación del procesador, la potencia que se proporciona a tu computadora, etc, etc.

La seguridad no se trata de garantizar las cosas al 100%, se trata de la gestión de riesgos. Usted toma decisiones informadas sobre cuánto confiar en algo en función de cómo decida medir el riesgo. ¿Confía en la CA que proporciona el certificado al sitio que está descargando? Si es así, ¿confía en la compañía a la que lo emitieron, confía en lo que publican, confía en otras personas que lo han utilizado sin problema? Debe emitir un juicio sobre cuál cree que es el riesgo.

Luego, una vez que sepa cuál es el riesgo, decide las medidas para mitigar el riesgo. Puede instalarlo en una máquina virtual con una VLAN que lo aísla de su red o incluso ponerlo en un hardware vacío, dedicado, "sucio" que permanece físicamente separado de sus sistemas protegidos. O, si confía más, puede simplemente escanearlo en busca de virus, leer algunos comentarios y seguir adelante. Realmente depende de ti cuánto riesgo es aceptable y cuánto esfuerzo quieres poner para mitigar ese riesgo.

Hablando en términos prácticos, lea reseñas, pregunte sobre herramientas en sitios de seguridad populares, descubra cuáles son las experiencias de las personas y si parece ser de buena reputación. Si es así, es probable que esté bien, pero aún así, en última instancia, es su criterio de riesgo aceptable.

    
respondido por el AJ Henderson 02.08.2013 - 21:23
fuente
5

No puedes confiar en ningún software ... pero debes comenzar en algún lugar. Usualmente, usas reputación ; vea esta respuesta para una analogía explicativa sobre el tema.

Y luego puede haber transferencias de confianza : eso es lo que ocurre con el sistema operativo. Selecciona un sistema operativo (posiblemente, viene preinstalado con su computadora, o compra un DVD de instalación, o lo que sea). Luego, este sistema operativo instalará herramientas de actualización que pueden instalar otros paquetes, siempre que haya una firma digital en ellos se verifica. Esto es típico del sistema Linux: instala un sistema base Ubuntu o RedHat o Debian, desde un medio de instalación, y luego tiene acceso a docenas de gigabytes de paquetes adicionales, que puede obtener a través de una red . El sistema de instalación del paquete comprueba que el paquete es "genuino" en virtud de que está firmado por un mantenedor autorizado. Básicamente, ha transferido su confianza a las personas que mantienen la distribución de SO , es decir, que preparan los paquetes de software y deciden cuáles son lo suficientemente confiables.

Lo que es sorprendente es que este sistema tiende a funcionar. Los incidentes son raros. Un caso de alto perfil data de 2008 : un intruso secuestró algunos sistemas en RedHat y podría firmar algunos paquetes falsos de OpenSSH con puertas traseras incluidas.

Las herramientas de seguridad como metasploit tienden a llevar la confianza a sus límites, porque estas herramientas están, por definición, escritas por personas que están involucradas en el comercio de seguridad y, por lo tanto, deben saber cómo plantar puertas traseras en silencio. . Siempre existe una sospecha persistente de que las personas que más saben sobre escribir exploits para secuestrar otros sistemas también serían las personas más propensas a, bueno, escribir exploits para secuestrar otros sistemas, el suyo en particular. Las formas racionales para hacer frente a eso incluyen:

  • Ejecutar todas las herramientas dentro de algunas capas de máquinas virtuales para tratar de aislarlas, monitorearlas y detectar el juego tonto.
  • Confíe en las herramientas a ciegas y camine por la vida en un estado de admirable bendición.
  • Cambiar de carrera, dejar la seguridad de TI por completo y criar cabras en su lugar.
respondido por el Tom Leek 02.08.2013 - 22:48
fuente

Lea otras preguntas en las etiquetas