Mi padre solía decir, “Todos los trabajos son fáciles con la herramienta adecuada”. Consejos sabios, pero presupone que la herramienta adecuada está disponible cuando es necesario. Algunas veces no lo es. La herramienta “correcta” puede no estar disponible, ser desafiante (o costosa) de adquirir o estar fuera de su alcance. Es en situaciones como estas donde la creatividad y el ingenio pueden llenar los vacíos.
Por ejemplo, en unas vacaciones recientes en el extranjero, me rompí las gafas. Pude repararlos usando una recortadora de uñas de viaje. Decir que no es la herramienta correcta es insuficiente, pero ser creativo de esta manera me permitió ver (con un mínimo de frustración) hasta que pude llegar a casa con mi pareja de respaldo. ¿El punto? A veces, aprovechar lo que está disponible puede ayudarnos a sortear los obstáculos que de otro modo serían incapacitantes para lograr nuestros objetivos.
Es en este sentido que corresponde a los auditores y evaluadores conocer los repositorios y colecciones de herramientas disponibles de uso especial que pueden emplear directamente para ayudarlas en el curso de la realización de una auditoría. Créalo o no, hay docenas de tales colecciones en formatos fácilmente accesibles y fáciles de usar que un asesor puede utilizar para llevar a cabo las tareas que podrían tener en su plato. Este artículo identifica las distribuciones de Linux que, si bien su propósito principal no es necesariamente relacionado con la auditoría, proporcione colecciones de cientos o, en algunos casos, miles de herramientas, muchas de las cuales los profesionales de auditoría pueden considerar valiosas. En cada caso, tanto la distribución en sí misma como un ejemplo de cómo un auditor puede emplear las herramientas distribuidas con ella se destacan en este artículo.
Por supuesto, vale la pena decir que hay muchos más por ahí que los enumerados aquí; estos son solo un punto de partida. Del mismo modo, solo hay mucho espacio disponible para destacar entre las muchas, muchas herramientas dentro de cada distribución (y tenga en cuenta que las mismas herramientas pueden estar presentes en más de un entorno). Dicho esto, la esperanza es que proporcionar un punto de partida pueda ayudar a informar a los auditores de un recurso potencial y permitir opciones creativas para sortear los desafíos que puedan presentarse.
1) BlackArch Linux
BlackArch Linux (https://blackarch.org/) es una distribución de pruebas de penetración desarrollada en la plataforma Arch Linux. La distribución como ISO “en vivo” y como imagen virtual permite al usuario iniciar rápidamente la plataforma para utilizar inmediatamente (o casi) sus más de 1.900 herramientas. Si bien las herramientas específicas se centran en las pruebas de penetración (ya que este es el propósito principal de la distribución), no hay escasez de herramientas que puedan ser de interés para un auditor o evaluador. Herramientas como ssldump o sslmap, por ejemplo, pueden ayudar a un asesor a validar configuraciones apropiadas para servidores web, por ejemplo, permitiéndoles observar que las consolas de cifrado apropiadas están en uso y las versiones de protocolos anteriores (susceptibles a DROWN, POODLE y similares) son desempleado. Del mismo modo, herramientas como nikto y crawlic pueden ayudar a garantizar que la configuración de un servidor web sea adecuada y acorde con los requisitos (por ejemplo, que no contenga credenciales, archivos temporales ni otros artefactos de configuración no deseados).
2) Kali Linux
El sucesor de BackTrack, Kali (https://www.kali.org/) es probablemente la distribución de pruebas de penetración más conocida en esa comunidad. Una de las ventajas de utilizar Kali específicamente es que hay un gran cuerpo de contenido “de cómo hacerlo” generado por la comunidad, incluidos videos instructivos sobre cómo instalar el entorno y cómo utilizar su conjunto de herramientas. Al igual que con BlackArch, hay una serie de herramientas que pueden ser útiles para un asesor; por ejemplo, una herramienta como OpenVAS (un escáner de vulnerabilidad de código abierto) se puede usar para validar la línea base de configuración para hosts en la red o para garantizar que se sigan los procesos de administración y parcheo de documentos. Una herramienta como nmap se puede usar para validar que los hosts están ejecutando solo los servicios apropiados de acuerdo con los procesos de configuración definidos.
3) REMnux
REMnux (https://remnux.org/) es un entorno diseñado para profesionales de seguridad dedicados al análisis de malware. Si bien la mayoría de los auditores y evaluadores no recibirán demasiadas llamadas para analizar activamente el malware, eso no significa que las mismas herramientas no puedan ser útiles para una tarea de auditoría. Las herramientas integradas en esta plataforma incluyen el analizador de protocolo de red Wireshark y el analizador de expresiones regulares de red ngrep. Éstos se pueden usar para una variedad de propósitos que incluyen asegurar que el intercambio de datos esté apropiadamente asegurado (por ejemplo, que los nombres de usuario y contraseñas de texto plano no se intercambien).
4) DEFT or CAINE
Las distribuciones que respaldan el examen forense de los sistemas también pueden ayudar al auditor en el trabajo que realizan. Por ejemplo, distribuciones como Digital Evidence and Forensics Toolkit (DEFT) (www.deftlinux.net) o Computer Aided Investigative Environment (CAINE) (https://www.caine-live.net/) son, como uno podría espera, repleto de herramientas diseñadas para manipular, ver, investigar y analizar archivos y sistemas de archivos. Estas herramientas pueden admitir esfuerzos de interés para los auditores, como la evaluación de la idoneidad de los permisos del sistema de archivos, la validación de la existencia y el funcionamiento de herramientas de protección de datos (por ejemplo, cifrado) o cualquier cantidad de otras tareas de manipulación de archivos.
5) SELKS
Esta última, la plataforma SELKS (https://www.stamus-networks.com/open-source/), es un poco más especial que otras. SELKS es un ISO “en vivo” (es decir, un entorno de arranque y preconfigurado) diseñado específicamente para ejecutar el sistema de detección de intrusos (IDS) de Suricata, así como su ecosistema y herramientas asociadas. Esto significa que, en un período de tiempo muy corto, un asesor puede defender un entorno preconfigurado de IDS/sistema de prevención de intrusos (IPS). ¿Por qué es útil esto en el caso de una auditoría? Hay una serie de razones, pero la más obvia es validar el funcionamiento de los controles de detective, por ejemplo, si un auditor desea asegurarse de que el IDS, las herramientas avanzadas de detección de malware u otros controles funcionen adecuadamente. Tener una forma “fuera de banda” de evaluar eventos puede ayudar como parte de ese proceso, particularmente cuando se usa en combinación con distribuciones anteriores (es decir, para generar patrones de ataque que puedan ser observados por las herramientas de IDS).
Ed Moyle
Es director de liderazgo de pensamiento e investigación en ISACA. Antes de unirse a ISACA, Moyle fue estratega de seguridad con Savvis y socio fundador de la firma analista Security Curve. En sus casi 20 años en seguridad de la información, ocupó numerosos cargos, incluido el de gerente general de prácticas de seguridad global de CTG, vicepresidente y responsable de seguridad de la información de Merrill Lynch Investment Managers, y analista de seguridad senior de Trintech. Moyle es coautor de Bibliotecas criptográficas para desarrolladores y colaborador habitual de la industria de la seguridad de la información como autor, orador público y analista.