De poco sirve disponer de ciertos conocimientos si finalmente los mismos no son practicados asiduamente para perfeccionar o al menos no ser olvidados. El pentesting es una de esas disciplinas informáticas que debe ser practicada asiduamente para no olvidarla y mantener activas las capacidades. Pero el pentesting requiere seguir usando ciertas reglas y pasos que nos permitan alcanzar el objetivo fijado.
1.- Definición de objetivos y recopilación de activos:
La verdad es que salvo que se produzca un ‘encargo’ con un objetivo bien definido, usualmente los crackers buscan disponer de la mayor red posible de infectados para seleccionar los objetivos y recopilar los activos. Por activos interpretamos los medios con los que dispone el objetivo seleccionado y su red de contactos de confianza. La red social Facebook ha sido de gran ayuda para enlazar y descubrir activos, pero sin duda no es la única. Aunque actualmente las nuevas redes sociales que han proliferado complican la labor de reunir dichos activos, Linkedin es sin embargo la red preferida a nivel empresarial, dado que su red de contactos esta especializada en los logros empresariales, económicos o financieros facilitando la labor de selección de objetivos.
Si el objetivo es seleccionado al azar también debe conocerse el entorno y legislación sobre el que nos movemos, ya que en caso de seleccionar un objetivo internacional es preferible que no esté en el mismo continente e incluso que tenga otro idioma nativo, ello facilita sin duda la labor de exploración y desagregación de atacante y atacado, al carecer de relación de idioma directa. Si disponen de conocimiento alternativo de inglés, el hecho de ser bilingües facilita la recepción de correos en ambos idiomas, ya que en caso de usar un idioma nativo distinto, las traducciones pueden ser erróneas como ha venido ocurriendo en los ataques extranjeros a usuarios de banca electrónica en España, donde los correos eran muy toscos y mal traducidos al español, lo que permitía identificarlos rápidamente, aunque con el tiempo se perfeccionaron y lograron suplantar a las entidades originales.
2.- Búsqueda de activos informáticos:
De nuevo en redes sociales disponemos de gran información como números de teléfono, correos electrónicos, etc. lo que nos permite evaluar las tecnologías de deberemos usar para infectar a nuestro objetivo en un procedimiento inicial. Cada ataque debe ser seleccionado expresamente y evaluado posteriormente para variarlo si vemos que no ha alcanzado el objetivo fijado. Si el objetivo está aleccionado en técnicas de autoprotección informática, lo mejor es investigar sus activos personales y conseguir la infección por vía indirecta (padres, hermanos, primos, amigos, colegas de trabajo, etc.).
Uso de nuevas herramientas de redes sociales, depositar un PDF envenenado en una app social como whatsapp también ayuda si disponemos de información sobre los activos indirectos del objetivo. E igualmente pueden usarse imágenes infectadas o vínculos elaborados a webs conocidas y duplicadas por medio del defacemant (esta muy extendido en internet).
3.- Explotación de activos:
Llegados a este punto disponemos de numerosa información sobre el objetivo, sus contactos y activos personales, asi como de los activos informáticos por lo que es hora de emprender acciones dirigidas a explotar las vulnerabilidades del mismo. Teléfonos móviles, ordenadores, workstations, tabletas, y aparataje con IoT (Internet de las cosas), todo es susceptible de ser explotado de la forma adecuada.
Analizar el entorno en el que se mueve el objetivo es saber las medidas de seguridad implementadas en su entorno domestico y profesional. De poco sirve a nivel empresarial que el objetivo disponga de medidas de seguridad estricta en el entorno laboral, si luego en el entorno doméstico el mismo o sus activos personales no lo siguen o carecen de medidas de autoprotección personal. Por ejemplo el teléfono móvil, es un activo informático que acompaña al objetivo asiduamente tanto en el entorno profesional como en el doméstico, a excepción de aquellos que disponen de una línea profesional y terminal securizado (guías del CCN-CNI, guías 453, 454, 455, 456, 1601, 1604,1605 y 1606). El mismo terminal sirve para ver, oír y capturar información donde la intrusión es altamente imposible de obtener bien por distancia física o tecnológica.
En muchos casos la elección o evaluación del ecosistema a explotar se limitará a dos posibilidades lo que facilita mucho la labor del atacante. Por ejemplo en terminales móviles las opciones actuales generales se reducen a android o iOS. En Tablets a tres opciones android, iOS y Windows 10. En portátiles y sobremesas asiduamente son Windows o MacOS, si nos circunscribimos exclusivamente al entorno empresarial casi con total seguridad serán windows por la gestión de licencias y soporte. Así que no todo es tan difícil y complicado. Para dichos sistemas operativos existen protocolos de comunicaciones y puertos genéricos abiertos normalmente para la gestión de los mismos, igualmente aunque los paquetes ofimáticos se diferencian en algunos aspectos, muchos conservan elementos activos comunes (ejemplo el paquete ofimático de Microsoft Office estándar mundial en Windows y MacOS), no los describiré pues son de sobra conocidos. Para aquellos que piensen en la solución de Unix en cualquiera de sus distribuciones de paquetes rpm o deb, deben olvidarse de la seguridad plena pues las mismas están destinadas a la funcionalidad no a la seguridad, a excepción de que hayamos personalizado una distribución unix para nuestra empresa de forma única y exclusiva y aun así tendremos siempre el riesgo de implementar algunos paquetes o elementos que pueden volver vulnerable la misma como flash (actionscript), java o elementos web de visualización.
4.- Asegurando la explotación:
Si hemos conseguido introducirnos en algún elemento del activo, es momento de asegurar nuestra presencia en otros dispositivos de la red para evitar que si se nos elimina una vía de entrada, mantengamos otras dentro de la misma red. Esto que es básico, también es un problema ya que si es detectada una intrusión, con asiduidad son evaluados todos los recursos para eliminar el malware instalado. Por ello debemos acceder a routers personales en el entorno doméstico para abrirnos puertas mediante la creación de reglas de puertos o protocolos, tanto en modo TCP como UDP. Y si es en el entorno empresarial aun mejor, ganaremos acceso a otros activos de la empresa tanto personales como informáticos.
Herramientas de uso:
Terminal informático con carga en memoria RAM del Sistema Operativo (sin disco duro) y VPN, terminal telefónico con linea extranjera (Gibraltar, Andorra, Rusia, etc.) con roaming y VPN. Software de pentesting ( nmap, wireshark, metasploit , armitage, etc.), existen en la darkweb herramientas personalizadas por módulos en función del tipo de trabajo. La creación de identidades falsas es también una tarea necesaria que complique la identificación del atacante (creación identidad falsa), envío anónimo de SMS, redes sociales alternativas, etc.