¿Se están haciendo las pruebas de penetración objetivamente "más difíciles" a medida que las aplicaciones / protocolos / sistemas operativos se vuelven más seguros?

Navega tus respuestas
7

Actualmente estoy inscrito en el curso "Pruebas de penetración con Kali" de Ofensive Security, que está dirigido a los recién llegados a las pruebas de penetración. El curso es excelente, con muchos ejemplos / ejercicios y un excelente entorno de laboratorio virtual que me permite conectarme a través de VPN y practicar todo lo que hemos aprendido.

Una cosa que he notado es que muchas de las vulnerabilidades que hemos estado estudiando / practicando han sido más antiguas, por ejemplo. Los sistemas Windows XP / 2003, versiones anteriores de Linux, o han estado confiando en sistemas mal configurados (que, si se configuran correctamente , serían mucho más seguros) o protocolos que se sabe que tienen fallas graves.

Soy consciente de que las versiones más nuevas de estos sistemas tienen vulnerabilidades propias. También estoy suponiendo que muchos de los sistemas más antiguos todavía persisten en el uso dentro de las organizaciones de todos modos. Sin embargo, el peso del material de estudio que se coloca en sistemas más antiguos me hace preguntarme si en el futuro, las pruebas de penetración serán necesariamente menos útiles o tendrán que cambiar sus métodos a medida que los desarrolladores se vuelven más conscientes de la seguridad al crear sus protocolos / aplicaciones / sistemas operativos. , y como sus herramientas se hacen más avanzadas. Por ejemplo, muchos lenguajes de nivel superior administran la memoria para los desarrolladores, lo que hace que los desbordamientos de búfer sean mucho menos probables, incluso para los desarrolladores descuidados. Además, mi percepción (aunque podría estar muy equivocada, no soy un experto) es que los sistemas operativos modernos son significativamente más seguros que sus predecesores.

Sé que CUALQUIER sistema tendrá ALGUNAS fallas en algún lugar, sin embargo, parece que las pruebas de penetración como nivel profesional implican, por definición, cierto grado de escaneo / explotación estandarizados de vulnerabilidades conocidas. Entonces, mi pregunta es: ¿es la superficie a la que se reducen los probadores de penetración profesionales, a medida que aumenta la conciencia de seguridad entre los desarrolladores de aplicaciones / protocolos / sistemas operativos, y que mejora la seguridad integrada de sus herramientas?

No estoy dando a entender que creo que las pruebas de penetración "desaparecerán" alguna vez, pero, por ejemplo, podría comenzar a depender más de la ingeniería social que de las vulnerabilidades técnicas actuales en las redes o el software.

    
pregunta loneboat 01.05.2017 - 17:36
fuente

3 respuestas

10

El objetivo de las pruebas de penetración no es encontrar vulnerabilidades, por lo que no ha fallado si no encuentra ninguna. Es para comprobar si las vulnerabilidades están presentes o no. No se vuelve más difícil si los sistemas se vuelven más seguros, solo genera menos vulnerabilidades. De hecho, será más fácil si la lista de vulnerabilidades conocidas para verificar se reduce.

    
respondido por el Mike Scott 01.05.2017 - 22:10
fuente
4

La vulnerabilidad y el panorama de TI están cambiando constantemente y diría que mientras algunos tipos de problemas se vuelven menos previsibles, otros toman su lugar como más comunes, mientras que algunos son para siempre (parece)

Cosas como los problemas explotables de la red clásica en sistemas operativos ampliamente implementados (por ejemplo, MS08-067) son menos comunes (aunque los volcados de Shadowbrokers mostraron que todavía son una posibilidad), y donde existen, tienden a ser más difíciles de explotar a medida que los fabricantes de sistemas operativos agregan más defensas a su sistema (por ejemplo, ASLR / DEP, etc.)

Sin embargo, no creo que esto necesariamente signifique que no habrá problemas que los probadores encuentren. Algunas cosas, como los problemas de autorización en las aplicaciones web, son muy difíciles de solucionar de forma genérica en todas las plataformas y dependen de desarrolladores individuales, por lo que son una posibilidad en cualquier aplicación que pruebe.

También las cosas que dependen de que un gran número de personas tengan una seguridad correcta, como las buenas opciones de contraseña, parecen persistir casi para siempre.

Junto a esos, se abren nuevas vías para que los probadores los vean. Por ejemplo, en comparación con hace 15 años, muchos de los sistemas de las empresas están alojados "en la nube", lo que puede exponerlos a ataques con mayor facilidad que si estuvieran en una red interna de empresas detrás de varias capas de sistemas defensivos, por lo que hay nuevas formas de los probadores pueden intentar explotar eso.

Definitivamente, los evaluadores deben adaptarse a los nuevos sistemas que vienen y a los sistemas pasados de moda, pero no veo que se queden sin cosas para encontrar en un futuro próximo.

    
respondido por el Rоry McCune 02.05.2017 - 09:49
fuente
3

En mi opinión, no ... regularmente encuentro inyecciones de SQL porque los desarrolladores están creando sus aplicaciones personalizadas en PHP en lugar de usar frameworks. Lo mismo es cierto para las API (especialmente aquellas para aplicaciones móviles en mi experiencia). En cuanto a la infraestructura externa, diría que es raro encontrar vulnerabilidades conocidas (con módulos de metasploit), debido a que ya se habrían puesto en peligro. El sondeo normalmente conduce a resultados, sin embargo, por ejemplo, he encontrado impresoras expuestas en Internet con credenciales predeterminadas que permitieron el giro a la red interna. En cuanto a la infraestructura interna, siempre hay puntos débiles, pero el uso de herramientas como Responder (para el envenenamiento de LLMNR) le dará a DA casi el 80% del tiempo dependiendo de las políticas de contraseñas, por lo que básicamente está investigando otros lugares mientras el Respondedor se ejecuta en caso de que no lo haga. No puedo obtener un hash NTLM que puede utilizar para escalar a DA.

    
respondido por el whatever489 01.05.2017 - 22:06
fuente

Lea otras preguntas en las etiquetas

¿Qué es un ataque de código Shrink Wrap? ¿Hipervisor de VM que no filtra que es una VM para el invitado?