¿Qué tan peligroso es usar herramientas de auditoría de seguridad de terceros?

8

Esta pregunta está inspirada en dos preguntas relacionadas ( ¿Qué tan seguro es el retroceso para usar? , y Cómo instalar, configurar y usar LSAT en Unix SE).

Además de una vulnerabilidad fechada (y parcheada) en LSAT (CVE-2007-1500) he buscado a través de NVD / CVE y encontré una vulnerabilidad en Backtrack: CVE-2012-0054 .

Mi pregunta es si tengo razón al requerir que un especialista en seguridad que realice una auditoría de mis sistemas no ejecute ninguna herramienta automática de terceros en ninguno de mis sistemas (incluso si su código fuente está disponible públicamente y están compilados desde la fuente). en el sitio).

    
pregunta Deer Hunter 02.01.2013 - 22:18
fuente

2 respuestas

4

La cuestión es que las herramientas automatizadas a veces son necesarias para realizar una auditoría. Si no desea ejecutar estas herramientas automatizadas (a menudo, los scripts que obtienen información básica sobre el software y el sistema operativo subyacente), tendrá que entregar todo manualmente y su auditor estará justo al lado. Dado que esto aumentará el tiempo dedicado al auditor, puede esperar que el precio suba en comparación con una auditoría estándar. Entonces, si está preparado para pagar entre 2 y 3 veces el precio normal, es probable que no haya problemas.

Sin embargo, cuando estamos hablando de una auditoría de seguridad desde un punto de vista de una caja negra (esto es más un pentest que una auditoría realmente) puede esperar que use algunas herramientas automatizadas básicas, por ejemplo nmap, para intentar obtener una Comprensión de la red. Si la persona tiene que escribir su propio guión, puede considerar que, en principio, también es una herramienta automatizada. Así que eso significaría que el pentestro tendrá que revisar todo manualmente, alrededor de 8 segundos para ejecutar y evaluar un ping, usted puede adivinar cuánto tiempo tomaría solo ver qué hosts están en línea en una subred básica / 24.

También hay otras razones por las que los auditores utilizan herramientas automatizadas, la herramienta no se olvida de verificar nada, un auditor por otro lado puede pasar por alto algunos detalles y olvidarse de verificar un determinado parámetro.

Así que sí puede prohibirles que ejecuten herramientas automatizadas (estoy hablando de un script básico que se ejecuta en su sistema) o usar Backtrack con nmap en su red, pero es probable que termine pagando mucho más y cubriendo mucho Menos. La mayoría de las herramientas como BackTrack han sido probadas y utilizadas por muchos profesionales (consulte la pregunta sobre Backtrack). Así que estas herramientas son bastante seguras de ejecutar.

Lo que debe asegurarse de incluir en su contrato es que la auditoría de seguridad no puede interferir o causar un tiempo de inactividad en sus sistemas de producción. (hay algunas excepciones, pero están en una situación en la que no hay otra manera)

En tu exploit

Ese exploit requiere que alguien inicie sesión localmente en el sistema, por lo que deberá acceder a una cuenta válida definida en el sistema. Debido a que la mayoría de las personas utilizan el retroceso de un CD de vida en lugar de usar una instalación, las posibilidades de que esto tenga un impacto en su red son muy bajas. Además, es más probable que esta vulnerabilidad esté presente en sistemas similares a la marcha atrás, como Debian o Ubuntu. Estos tipos de vulnerabilidades están presentes en la mayoría de los programas, probablemente incluso en el software que está utilizando para administrar su negocio.

    
respondido por el Lucas Kauffman 02.01.2013 - 23:14
fuente
5

Las pruebas de seguridad implican riesgos.

La mayoría de las herramientas de seguridad tienen advertencias y exenciones de responsabilidad porque representan riesgos para los sistemas a los que se dirigen. Un especialista en seguridad entendería cómo el uso de una herramienta particular o una prueba intrusiva puede impactar negativamente en los sistemas de destino, pero los resultados indeseables y los accidentes pueden suceder . Por ejemplo, una inyección de ‘OR ‘1’=’1 SQL clásica en una consulta DELETE podría eliminar fácilmente todos los contenidos de la tabla.

Otro ejemplo es el escáner NMAP que contiene secuencia de comandos de auditoría que están marcados safe o intrusivo . Algunos scripts son intrusivos porque utilizan recursos significativos en el sistema remoto, es probable que colapsen el sistema o el servicio, o pueden ser percibidos como un ataque por los administradores remotos.

La auditoría es una actividad bastante pasiva centrada en observar en lugar de interactuar con el objetivo. La marcha atrás y otras cajas de herramientas se centran más en la interacción activa que es típica de las pruebas de penetración.

    
respondido por el Cristian Dobre 02.01.2013 - 23:16
fuente

Lea otras preguntas en las etiquetas