¿Qué es un comprobador de lápiz?

El trabajo de un probador de penetración es demostrar y documentar una falla en la seguridad.

En una situación normal, un examinador de bolígrafos realizará un reconocimiento para encontrar algunas vulnerabilidades, explotará esas vulnerabilidades para obtener acceso y luego posiblemente extraerá algunos datos pequeños de valor para demostrar que el sistema no es seguro.

El dato a menudo es parte del argumento de venta de la compañía que busca solucionar sus problemas. Una cosa es ver una vulnerabilidad y pedirle al jefe $ 10,000 para actualizar los firewalls. Otra cosa es decirle al jefe: "mire estos resultados, el evaluador pudo obtener nuestros números de tarjeta de crédito, que es una demanda por un millón de dólares en espera de que ocurra. Dame $ 10,000 para actualizar los firewalls".

Tenga en cuenta que esto no indica qué vulnerabilidad explotará el probador, y el probador podría tener la libertad de probar cualquier cosa, desde un ataque de ingeniería social a un rastreador de WiFi o un robo físico.

Sin embargo, los evaluadores de lápiz generalmente deben trabajar dentro de límites o límites. A menudo, esto es a petición de los clientes: "Demuestre que puede o no puede ingresar a nuestra red, pero no queremos que envíe correos electrónicos de phishing a nuestros empleados". Y la compañía de seguridad puede tener una política de nunca instalar ciertos tipos de malware. (Hay pocas razones para que un examinador de lápiz instale un cliente de botnet u oculte sus pistas detrás de un rootkit, por ejemplo, a menos que esté demostrando la necesidad de buscar botnets y rootkits).

Algunos clientes impondrán muchos límites a las pruebas, como "solo probar la seguridad de mi servidor de aplicaciones". Estos clientes pueden tener la impresión de que un pirata informático se verá frustrado por los cortafuegos mágicos que compraron y que protegerán al servidor de aplicaciones de todas las formas posibles de ataque externo. O podría ser que tengan un equipo diferente centrado en las defensas de cortafuegos y un tercer equipo que trabaje en campañas de concienciación sobre ingeniería social. El cliente también puede pedir que el probador de lápiz no filtre los datos valiosos, ya que el conocimiento de los agujeros es suficiente para ellos.

De cualquier manera, el probador de bolígrafos debe permanecer cuidadosamente dentro de los límites establecidos, incluso cuando el probador puede identificar una vía de explotación más efectiva. El examinador de bolígrafos generalmente solo recibe una posición de confianza a regañadientes, porque a menudo se los ve como "piratas informáticos criminales". Al documentar y exponer cuidadosamente cada defecto que explotaron, ganan confianza a través del profesionalismo. Si un probador ve una falla que no está autorizado a explorar, debe señalarla, pero no explorarla a menos que primero obtenga el permiso.

También tenga en cuenta que el objetivo del comprobador de lápiz no es "instalar software malicioso". El objetivo es demostrar la idoneidad de la información de valor de protección de seguridad (tarjetas de crédito, secretos comerciales, planes de marketing, administración de servidores, etc.) El malware es solo una técnica utilizada por los piratas informáticos.

Para empezar, te recomendaría leer, practicar y aprender lo que puedas en casa y en línea. Echa un vistazo a los libros de Certified Ethical Hacker y la capacitación disponible. Trate de asistir a conferencias y eventos de seguridad locales, regionales o nacionales. Es posible que tenga grupos locales de "sombrero blanco" como OWASP que tengan reuniones a las que pueda asistir y personas que pueda conocer. También es posible que tengas un capítulo de DEFCON más "sombrero gris" cerca, de nuevo, estas serían personas de las que podrías aprender. Estas son todas las personas que podrían ayudarlo a ingresar al negocio, si ven una aptitud o habilidad en usted.

Como se ha dicho, un probador de pluma es solo alguien que intenta penetrar las defensas de seguridad de un tipo u otro. Las personas se especializan en todo tipo de cosas, y es la especialidad la que conduce a tu confusión.

Vale la pena señalar que, con bastante frecuencia, un cliente impondrá límites en el alcance de la práctica de un pen-tester. Pueden contratar a alguien para probar su red, su seguridad física o incluso la reacción de su personal de recepción ante personajes sospechosos; muy a menudo, la diferencia entre dos trabajos es lo que el cliente quiere hacer.

Es un campo potencialmente tan amplio, que para dar una respuesta más específica no es realmente posible, la gente realiza pruebas de lápiz en todos los diferentes tipos de sistemas de seguridad, desde firewalls y redes, hasta la medida de seguridad física de las instalaciones militares. / p>     

Es un campo amplio. Sin embargo, el nombre lo describe exactamente: para probar la posibilidad de penetración donde no debería existir ninguna.

Por lo tanto, para tomar su primer ejemplo, si se contrata a alguien para que ejecute una "prueba de lápiz" contra un servidor de archivos, es posible que dedique todo su tiempo a verificar si existen vulnerabilidades de SAMBA sin parches que puedan usarse. / p>

Para tomar su segundo ejemplo, es posible que una empresa desee obtener una descripción general de las áreas vulnerables en lo que respecta al conocimiento del personal, la seguridad interna y las políticas / procedimientos. Entonces, el examinador de bolígrafos probaría una serie de técnicas comunes: correos electrónicos de phishing o phishing con spear, unidades USB con malware en los estacionamientos, seguimiento en edificios, llamando a la recepcionista que pretende ser personal de TI ...

Por lo tanto, la prueba de la pluma involucra ambos aspectos sobre los que usted preguntó: el lado muy técnico, el lado humano y todo lo que está en el medio.

Le sugeriría que para comenzar, debería intentar obtener una posición de nivel de entrada en seguridad de TI y nunca dejar de aprender.