Cómo una barra de pentesting automatizada puede abordar múltiples necesidades de seguridad


Utilizado con fines ofensivos y defensivos, un dispositivo de prueba de penetración se puede configurar para realizar comprobaciones automatizadas de la seguridad de la purple y más.

Unidad flash con calavera

Imagen: iStock / M-A-U

Los probadores de penetración y los actores de amenazas (piratas informáticos) comparten mucho en común cuando se trata de los métodos y herramientas utilizados para probar las defensas de una red, identificar vulnerabilidades y comprometer sistemas. Las similitudes superan con creces las diferencias, excepto en el acceso autorizado.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Nota: El objetivo de este artículo no es dar luz verde a nadie para ejecutar herramientas de seguridad en cualquier red que no sea propiedad del usuario. Esto se aplica a las redes en las que se le puede permitir trabajar en una determinada capacidad, pero comprenda que la mayoría de las redes no verán demasiado favorablemente a su propio private de TI que realiza tareas de pentesting en ellas. Entonces, a menos que tenga un permiso explícito para hacerlo: ¡NO LO HAGA! Cree su propio laboratorio y pruebe allí.

Tampoco es el objetivo de este artículo guiarlo a través del proceso paso a paso de piratear una red. Más bien, es para ilustrar algunos de los usos de las herramientas de pentesting automatizadas y cómo pueden usarse incluso para tipos específicos de ataques para crear conciencia sobre estos dispositivos no autorizados. Incluso pueden estar sentados en su armario de pink o conectados a la parte posterior de una computadora de escritorio mientras lee esto.

VER: CISA advierte sobre ataques a servicios basados ​​en la nube (TechRepublic)

Antes de comenzar, algunas de las herramientas de components que puede necesitar para configurar una o todas se enumeran a continuación:

  • Frambuesa pi
  • Unidad flash USB (8 GB o más)
  • tarjeta microSD (32 GB o más)
  • adaptador de unidad flash USB microSD
  • Tarjeta inalámbrica USB (appropriate con inyección de paquetes y modo monitor)
  • Dongle de radio USB 2.4Ghz

Sistema operativo RasPwn en Raspberry Pi

Esta distribución de Linux es una herramienta más defensiva (o todo lo contrario, según su perspectiva). Lo que quiero decir es que esta imagen del sistema operativo de código abierto, cuando se instala en una Raspberry Pi 2 / 3b, por ejemplo, emula un servidor Linux vulnerable con vulnerabilidades para explotar. El concepto detrás de este sistema operativo susceptible es que los usuarios prueben sus habilidades de seguridad, aprendiendo de manera efectiva cómo explotar estos sistemas y cómo protegerlos mejor.

VER: ¿Tu jefe te está espiando? Es posible, y las leyes de privacidad aún no existen (TechRepublic)

El proceso de instalación de RasPwn es sencillo para cualquier persona con experiencia en la instalación de imágenes en tarjetas SD para su uso con Raspberry Pi. Dependiendo del sistema operativo instalado en la computadora desde la que instalará la imagen, existen varios métodos diferentes para copiar la imagen. El uso de la utilidad dd en Linux / macOS o Acquire32DiskImager puede realizar esta tarea. Una vez que la microSD se inicia desde la Raspberry Pi, RasPwn se iniciará y cambiará el tamaño de la imagen, y luego el sistema estará listo para el ataque.

Rubber Ducky en una unidad flash USB

El USB Rubber Ducky es descrito por su proveedor Hak5 como «una herramienta de inyección de teclas», que viene en forma de una unidad flash USB estándar. Debajo de su exterior convencional se encuentra una herramienta pequeña pero poderosa que efectivamente convence a las computadoras de que es un teclado y permite que se ejecuten cualquier número de comandos, o «scripts Ducky», en el dispositivo host.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Si bien es posible crear su propio Rubber Ducky utilizando una placa de desarrollo, la complejidad se ha eliminado utilizando el dispositivo de fabricación propia de Hak5 disponible en su sitio net, junto con una serie de tutoriales y demostraciones de varios tipos de ataques. ¿Quiere probar la capacidad de registro de teclas? Cheque. ¿Realizar exfiltración de hashes de credenciales? Sip. ¿Crear conchas inversas? Eso y mucho más se puede hacer en cuestión de segundos.

Desde el punto de vista de un atacante, las capacidades son casi infinitas, ya sea que los comandos se ejecuten dentro del espacio limitado de caracteres del cargador o aprovechen la propia conectividad a Net del host para llamar a casa a un servidor alojado en la nube o espacio de disco compartido para recuperar scripts más complejos desde un servidor de comando y control (C2). Dependiendo de su conjunto de habilidades y del tipo de información que desee probar, su imaginación es el límite.

Kali Linux en Raspberry Pi

Cualquiera que haya incursionado más en la seguridad informática debe estar al tanto de Kali y todas las herramientas gloriosas que ofrece la distribución centrada en infosec. En pocas palabras, casi cualquier herramienta de seguridad de código abierto en uso hoy en día se puede encontrar en la última imagen de Kali Linux. Offsec Solutions, los mantenedores de la distribución Kali, lo ponen a disposición para un variedad de tipos de hardware / dispositivo, incluida Raspberry Pi, que tiene mucho sentido cuando se busca implementar una herramienta personalizada que sea poderosa, pero sigilosa.

VER: Cómo instalar las herramientas Kali Linux en Ubuntu con este sencillo script (TechRepublic)

El proceso de obtener la imagen en la tarjeta microSD es comparable a otros proyectos basados ​​en Pi y se mencionó anteriormente en la sección RasPwn. Una vez que la imagen se escribe en la tarjeta SD, la tarjeta se carga en el dispositivo Pi y se inicia para completar la instalación y configuración. ¡Es así de very simple! Sin embargo, si está buscando preconfigurar su entorno Kali, como personalizar más herramientas, instalar o eliminar conjuntos de herramientas específicos, o si simplemente desea jugar con los repositorios, el uso del script rpi.sh permite a los usuarios modificarlo en consecuencia y construya su propia versión personalizada de Kali.

Al incluir las herramientas necesarias y personalizarlas durante la instalación, el entorno preconfigurado resultante garantiza que sus herramientas contengan exactamente lo que se necesitará al implementar sus herramientas de prueba de seguridad en el entorno de prueba. Y dado que Kali es un sistema operativo completo por derecho propio, es totalmente actualizable y manejable desde conexiones remotas, shells inversos y conexiones inalámbricas advert-hoc para una máxima flexibilidad.

Ver también



Enlace a la noticia primary