Pentest-tools, como hacer pentesting sin hacerlo realmente

Si no quieres echarte al «barro» con cada test de penetración que te toque hacer, seguro que te interesa conocer -al menos- que existen alternativas que te liberan del trabajo de campo que más tiempo y recursos consume. Hoy analizo el servicio ofrecido por pentest-tools.com.

A priori, se me ocurren los siguientes ejemplos por los que te podría interesar algo así:

• No tienes el hardware necesario para la tarea: digamos que no puedes liberar un equipo para que esté haciendo diferentes escaneos de seguridad
• No tienes los conocimientos: es posible que no conozcas todas las técnicas y desees una «ayuda» externa
• No tienes tiempo: quizá tengas el Hardware y los conocimientos, pero puede que tú o tu equipo no tengáis tiempo suficiente para atender todo. Los scripts y toolboxes están muy bien, pero hay que fabricarlos y/o encontrarlos.

Por supuesto, nos queda la última y quizá más importante para muchos: no quieres mancharte las manos. ¿Y si no tienes permiso para esos escaneos de puertos? ¿Seguro que lo tienes? Usar un servicio externo borrará esas preocupaciones. Eso sí, note pases de la raya porque… lee sus condiciones de servicio.

Pentest-Tools, avanzadas herramientas de pentesting en una sola web

Pentest-tools es un entorno online diseñado para realizar auditorías de seguridad o compliance, así como test de penetración. Nos permite realizar pentesting sobre web, infraestructura de red, Google hacking, etcétera.

Lo bueno del servicio es que podemos empezar totalmente gratis con 40 créditos. Lo malo, que algunas de las herramientas requieren más. En cualquier caso pruébalo, ¡its free!

Se basa en los mejores estándares y herramientas de la industria para ofrecer el servicio. Podemos encontrar herramientas como Nmap u OpenVAS implementadas en sus servidores. Además, prácticamente han cubierto todos los aspectos deseables en un test de tipo «total», salvo que necesitemos cosas muy específicas.

Herramientas disponibles

Reconocimiento (information gathering)

1. Búsqueda de subdominios
2. Búsqueda de hosts virtuales
3. Reconocimiento web
4. Apropiación de subdominio
5. Google Hacking

Test de aplicaciones web

1. Escaneo de sitios web
2. URL fuzzer
3. Escaneo de SQLi (inyección SQL)
4. Escaneo de XSS (Cross Site Scripting)

Test de CMS (Content Management System)

1. Escaneo para WordPress
2. Escaneo para Drupal
3. Escaneo para Joomla
4. Escaneo para Sharepoint

Pruebas de infraestructura

1. OpenVAS para redes
2. Escaneo de puertos TCP
3. Escano de de puertos UDP
4. Ping Sweep
5. Transferencia de zona para DNS

Pruebas SSL

• Heartbleed
• POODLE
• DROWN
• Ataque tipo ROBOT

Útiles y ayuda para exploits

• Logger de respuestas HTTP
• Ping ICMP
• WHOIS

Primeros pasos con la herramienta

Si hemos contratado algún plan de pago con el sitio web (como es mi caso) veremos algo parecido a lo siguiente, una vez hayamos accedido con nuestro usuario/contraseña:

Es el menú principal, y desde aquí, además de ver escaneos en curso o finalizados, podemos acceder a otras áreas de servicio.

Escaneos y opciones

Basándonos en todo lo anteriormente descrito en cuanto a tecnologías y capacidades, podemos enumerar algunos ejemplos de escaneos lanzados por mi.

No conviene ponerse a lanzar escaneos «a tontas y a locas» porque los créditos corren que vuelan y se trata de obtener la máxima rentabilidad de los mismos. Planifícate bien, evalúa tus necesidades y si, por ejemplo, puedes obtener con menos test la información necesaria para tu labor.

Los escaneos en curso nos irán mostrando datos a medida que se alimentan y finalizan las pruebas.

Programar escaneo

Además de lanzar el escaneo en tiempo real, también podemos programar su ejecución para otro momento. Esto es recomendable para no saturar una red o servidor, así como para comenzar a prepararnos unos test acordados con cliente en una franja diferente a la actual.

Por supuesto, si hemos programado un escaneo este aparecerá listado dentro de Scheduler.

Objetivos (targets)

En el apartado Targets podemos encontrar todos aquellos host, dominios o redes hacia los que hemos realizado alguna prueba anteriormente.

Desde aquí podemos hacer varias cosas. La primera, ver datos sobre el número de escaneos de cada tipo ejecutados, junto con el risk level encontrado. La segunda, escoger de entre una serie de opciones en la barra superior:

• Añadir
• Importar
• Escanear con…
• Etcétera.

Findings

Esta sección del panel nos permite visualizar elementos clave en base a pruebas realizadas anteriormente. Además, podemos añadir manualmente nuestros «hallazgos» si queremos combinar datos procedentes de otra herramienta externa, por ejemplo.

Informes (reporting)

Todo proceso de pentesting acaba siempre de la misma forma: elaborando un informe del test de penetración que pueda ser consultado por el público objetivo.

El área de informes incluye dos plantillas diferentes para trabajar sobre ellas:

• Test de penetración web
• Test de penetración de perímetro externo

También se incluye el apartado «engagement», donde podemos incluir los nombres de los responsables, empresas, contratos y acciones acometidas.

No menos importantes son desde luego las plantillas predefinidas para las diferentes áreas a testear. Bajo el menú Finding templates podemos encontrar las predefinidas o añadir otras nuevas. Estos ajustes quedarán grabados para ser reutilizados cuando lo necesitemos.

Por último nos encontramos una parte reservada para «notas», donde podemos ir apuntando cosas relevantes en nuestro proceso de búsqueda de vulnerabilidades.

Pentest tools nos ofrece la posibilidad de crear informes de forma muy rápida y que incluyen todo lo básicamente necesario en este tipo de situaciones: resumen ejecutivo, herramientas y métodos utilizados, resultados obtenidos, etcétera.

Si acaso, podríamos añadir algo más a nivel de introducción y un resumen para un nivel más técnico, pero es un buen comienzo y nos ahorrará trabajo.

Herramientas gratuitas

Podemos utilizar algunas de las herramientas sin ningún coste:

• WHOIS
• ICMP Ping

Te puede interesar – PentestIt, plataforma donde realizar pentesting real y legal

Créditos y planes de precios

Como usuario anónimo de la plataforma empezarás con 40 tickets o créditos para gastar. Si quieres obtener más capacidades te recomiendo echar un vistazo a sus planes de precios.

Los créditos que nos concede la web se renuevan cada 24 horas, obteniendo 40 nuevos créditos gratuitos que podremos usar en las herramientas que requieran una cantidad de 40 o menos.

Si te dedicas como profesional a realizar pruebas de pentesting (de manera individual) te interesará posiblemente el plan intermedio Pro Advanced, con 3000 créditos que caducan pasado un año. Cuesta 250 €.

Si trabajas en una empresa dedicada a la materia, es posible que quieras ver el plan Enterprise.

Palabras finales

Este servicio que analizo hoy ya lo conocía desde hace años, aunque os hable de él por primera vez. Puedo decir que siempre me ha dado buenos resultados (al menos, los resultados esperados) y que las tecnologías que implementa hacen lo que prometen.

Como principal punto a favor tenemos su versatilidad y potencia, en algunas áreas bastante notable. Además tenemos el hecho de ser gratuita (con un límite diario y de funcionalidad, claro está) para poder probarla o debatir su uso futuro con nuestro equipo.

La tranquilidad de que los datos estén en la nube también está ahí, siempre podemos recurrir a ellos sin temor a perderlos o la necesidad de almacenarlos en nuestro equipo, con el consiguiente peligro para la privacidad del cliente.

Como punto mejorable, quizá podría haber mayor variedad de tecnologías para ciertas pruebas, pero realmente es algo difícil de implementar. Hay quien quizá lo considere caro, pienso que depende, lo que es evidente es que conviene fijar bien las necesidades para ver su viabilidad.