Sistema, método y medio legible por ordenador para proporcionar pruebas de penetración de red.

Un método para realizar pruebas de penetración en una red desde un ordenador de usuario final (50),

en el que elmétodo comprende las etapas de:

recopilar direcciones de correo electrónico válidas de un servidor SMTP;

transmitir al menos un correo electrónico de determinación a al menos una de las direcciones de correoelectrónico recopiladas, en donde el correo electrónico de determinación se transmite a un ordenador de destinoasociado con la al menos una dirección de correo electrónico recopilada, siendo el correo electrónico dedeterminación un correo electrónico que contiene un código de ordenador que es capaz de determinar al menosuna aplicación que se está ejecutando en el ordenador de destino;

determinar al menos una vulnerabilidad de la al menos una aplicación determinada que se está ejecutando en elordenador de destino; y

generar al menos un exploit para aprovechar la al menos una vulnerabilidad determinada de la aplicación,permitiendo de este modo que forme parte del ordenador de destino.

Sistema, método y medio legible por ordenador para proporcionar pruebas de penetración de red

Campo de la invención La presente invención se refiere a la seguridad de un sistema informático de análisis que compromete la seguridad de una manera sistemática.

Antecedentes de la invención Los sistemas informáticos que están conectados a una red de ordenadores, tal como Internet, deben emplear medidas de seguridad para evitar que usuarios no autorizados accedan a estos sistemas. Las medidas de seguridad deben diseñarse e implementarse correctamente con el fin de evitar un acceso no autorizado. Sin embargo, es difícil 15 evaluar la eficacia de estas medidas de seguridad, especialmente en vista de la creciente sofisticación de las técnicas que se usan para obtener un acceso no autorizado a los sistemas informáticos. El documento US2003/0009696 dispone de los probadores colocados dentro del sistema del cliente y que llevan a cabo las pruebas para la evaluación de la vulnerabilidad de la infraestructura del cliente. Cada probador recibe instrucciones de la puerta de enlace, qué prueba se va a ejecutar, cómo ejecutarla, lo que recoger desde el sistema cliente, etc.

Los resultados se envían de nuevo a la puerta de enlace.

La eficacia de las medidas de seguridad de un sistema informático pueden evaluarse realizando una auditoría de seguridad informática en la que se analizan y se evalúan diversos aspectos de la seguridad informática. La auditoría de seguridad puede incluir una prueba de penetración, que es un proceso mediante el cual un auditor de seguridad

intenta obtener un acceso no autorizado al sistema informático.

De manera convencional, se realiza una prueba de penetración usando una multitud de métodos y herramientas ad hoc, en lugar de acuerdo con una norma o procedimiento formalizado. Una prueba de penetración típica incluye las siguientes etapas: 1. Recopilación de información: el auditor de seguridad recopila detalles técnicos acerca del 30 sistema de destino y la información con respecto al propietario del sistema de destino. 2. Análisis de la información y planificación: El auditor analiza la información para planificar un enfoque global por el que realizar la prueba de penetración. Esto tiende a ser una tarea difícil y que consume mucho tiempo y que requiere de personal con experiencia y conocimientos que tenga una base de conocimientos muy especializados. 3. Detección de la vulnerabilidad: El auditor busca en el sistema de destino vulnerabilidades de seguridad basándose en el plan de alto 35 nivel desarrollado en la fase de análisis de la información y planificación. Las vulnerabilidades de seguridad incluyen, por ejemplo, errores de configuración del sistema que permiten a un usuario no autorizado obtener un acceso usando una serie conocida de etapas. La búsqueda de la vulnerabilidad puede realizarse usando un escáner de vulnerabilidades automatizado, que es un paquete de software que determina si ciertos defectos conocidos pueden usarse para obtener un acceso no autorizado al destino. El escaneo de vulnerabilidades manual puede realizarse 40 también para sondear vulnerabilidades comunes que, por diversas razones, podrían haberse omitido por un escáner automatizado. Sin embargo, tales técnicas de escaneo de vulnerabilidades enumeran simplemente las vulnerabilidades, en lugar de tratar realmente de aprovecharlas. Las búsquedas automáticas y manuales de la vulnerabilidad pueden complementarse mediante la investigación realizada por el auditor de seguridad para determinar previamente las vulnerabilidades desconocidas. Tal investigación se realiza normalmente usando una 45 copia (también llamada un espejo) de la aplicación de software que se prueba y/o el hardware asociado.

Otra fase en una prueba de penetración típica incluye: 4. Comprometer y acceder al sistema de destino: El auditor intenta comprometer el sistema de destino basándose en los resultados de la fase de detección de la vulnerabilidad usando programas a disposición del público o desarrollados de forma personalizada. Los programas a disposición 50 del público diseñados para aprovechar las vulnerabilidades del sistema tienden a ser poco fiables y requieren pruebas y personalización antes de su uso. En general, el aprovechamiento de las vulnerabilidades detectadas, independientemente de las herramientas que se usen, requiere de personal con experiencia y conocimientos que tenga una base de conocimientos muy especializados. Además, puede necesitarse una infraestructura de laboratorio considerable para desarrollar y probar las herramientas de aprovechamiento de la vulnerabilidad, especialmente 55 cuando el sistema de destino emplea un número de plataformas de sistemas operativos diferentes. 5. Análisis y generación de informes: Esta fase incluye la consolidación y la presentación de la información obtenida durante las fases anteriores y desarrollar las recomendaciones para remediar las vulnerabilidades de seguridad identificadas durante la prueba de penetración. Mantener manualmente un registro de todas las acciones realizadas y de la información obtenida durante las pruebas es extremadamente lento y propenso a error. Por otra parte, la 60 preparación de registros completos y precisos está sujeta a la disciplina del personal que ha realizado la prueba. 6. Limpieza: La fase de comprometer y acceder resulta normalmente en cambios significativos que deben realizarse al sistema de destino. En la fase de limpieza, el auditor devuelve el sistema a su configuración original. Para realizar una limpieza exitosa, se debe mantener una lista detallada y exacta de todas las acciones realizadas durante la prueba, sin embargo, existen solo herramientas rudimentarias disponibles para mantener dicha información.

Los exploits del lado del cliente constituyen una familia especial de exploits que se usan para atacar a las aplicaciones cliente. A modo de ejemplo, en la ejecución de muchos protocolos, existen dos entidades que participan, es decir, un cliente y un servidor en las que normalmente el servidor proporciona un servicio centralizado para muchos clientes (por ejemplo, los navegadores web son clientes que se conectan a las aplicaciones web

(alojadas en servidores web) para descargar contenido, conectar los clientes de correo a los servidores de correo para descargar o enviar correos, etc.) . Ciertas aplicaciones de cliente vulnerables son aprovechables, esto significa que se podría desarrollar algún código exploit que se subiese de alguna manera a un servidor que proporciona un servicio a estos clientes y puede usarse para atacar con éxito esta aplicación (por ejemplo, para tomar el control del sistema informático ejecutando esta aplicación) . Por ejemplo, en el caso de un exploit de aplicación de correo electrónico, el probador de penetración normalmente descubre que se está usando el cliente de correo electrónico por una entidad en la organización de destino, envía un correo electrónico a esta entidad, conteniendo este correo electrónico cierto código de exploit, y compromete al ordenador que recibe este correo electrónico.

Por desgracia, el proceso de ejecución de las etapas 1-6 anteriores con el fin de ejecutar una prueba de penetración lo más rápido posible, sin interrumpir los servicios, y centrándose en el objetivo de la prueba (como se describe por el contratista de la auditoría) requiere una gran experiencia, y es muy difícil. En vista de los inconvenientes discutidos anteriormente, existe una necesidad de un sistema y método para realizar pruebas de penetración del lado del cliente empleando un compromiso de sistema informático que tome un enfoque completamente fresco y supere los inconvenientes de las técnicas estándares.

Resumen de la invención La presente invención se define por la materia objeto de las reivindicaciones independientes. Las realizaciones preferidas se definen en las reivindicaciones dependientes.

Breve descripción de los dibujos Muchos aspectos de la invención pueden entenderse mejor con referencia a los siguientes dibujos. Los componentes en los dibujos no están necesariamente a escala, en su lugar el énfasis se coloca en ilustrar claramente los principios de la presente invención. Por otra parte, en los dibujos, los mismos números de referencia designan partes correspondientes en las diversas vistas.

La figura 1 es un diagrama esquemático que ilustra un ejemplo de una red en la que puede proporcionarse el marco de la prueba de penetración de la aplicación presente del lado del cliente.

La figura 2 es un diagrama de bloques que ilustra además el ordenador de usuario final de la figura 1, en el que puede localizarse un probador de penetración del lado del cliente.

La figura 3 es un diagrama... [Seguir leyendo]

1. Un método para realizar pruebas de penetración en una red desde un ordenador de usuario final (50) , en el que el método comprende las etapas de:

recopilar direcciones de correo electrónico válidas de un servidor SMTP; transmitir al menos un correo electrónico de determinación a al menos una de las direcciones de correo electrónico recopiladas, en donde el correo electrónico de determinación se transmite a un ordenador de destino asociado con la al menos una dirección de correo electrónico recopilada, siendo el correo electrónico de determinación un correo electrónico que contiene un código de ordenador que es capaz de determinar al menos una aplicación que se está ejecutando en el ordenador de destino; determinar al menos una vulnerabilidad de la al menos una aplicación determinada que se está ejecutando en el ordenador de destino; y generar al menos un exploit para aprovechar la al menos una vulnerabilidad determinada de la aplicación,

permitiendo de este modo que forme parte del ordenador de destino.

2. El método de la reivindicación 1, en el que la etapa de recopilación de direcciones de correo electrónico válidas comprende además la etapa de interactuar con un servidor de protocolo de transferencia de correo simple, SMTP, para detectar las direcciones de correo electrónico que aloja el servidor SMTP.

3. El método de la reivindicación 1, que comprende además la etapa de transmitir el al menos un exploit generado al ordenador de destino para obtener el control sobre el ordenador de destino.

4. El método de la reivindicación 1, que comprende además la etapa de transmitir un correo electrónico que tiene 25 acceso a el al menos un exploit al ordenador de destino para obtener el control sobre el ordenador de destino.

5. El método de la reivindicación 1, que comprende además la etapa de transmitir el al menos un exploit generado al ordenador de destino para obtener el control sobre las aplicaciones determinadas.

6. El método de la reivindicación 1, en el que la al menos una aplicación determinada se selecciona del grupo que consiste en un navegador web, un cliente de correo electrónico y una aplicación de suite de ofimática.

7. Un sistema (50) para proporcionar pruebas de penetración de red, que comprende:

un primer módulo (154) configurado para recopilar direcciones de correo electrónico válidas de un servidor SMTP; un segundo módulo (156) configurado para transmitir al menos un correo electrónico de determinación a al menos una de las direcciones de correo electrónico recopiladas, en donde el correo electrónico de determinación se transmite a un ordenador de destino asociado con la al menos una dirección de correo electrónico recopilada, siendo el correo electrónico de determinación un correo electrónico que contiene un código de ordenador que es capaz de determinar al menos una aplicación que se está ejecutando en el ordenador de destino; un tercer módulo configurado para determinar al menos una vulnerabilidad de la al menos una aplicación determinada que se está ejecutando en el ordenador de destino; y un cuarto módulo configurado para generar al menos un exploit para aprovechar la al menos una vulnerabilidad

determinada de la aplicación, permitiendo de este modo que forme parte del ordenador de destino.

8. El sistema de la reivindicación 7, que comprende además un quinto módulo para navegar por un árbol de páginas web, detectar direcciones de correo electrónico en el árbol de páginas web y almacenar las direcciones de correo electrónico detectadas.

9. El sistema de la reivindicación 7, en el que el primer módulo está configurado para interactuar con un servidor de protocolo de transferencia de correo simple, SMTP, para detectar direcciones de correo electrónico que aloja el servidor SMTP.

10. El sistema de la reivindicación 7, que comprende además un quinto módulo para transmitir el al menos un exploit generado al ordenador de destino para obtener el control sobre el ordenador de destino.

11. El sistema de la reivindicación 7, que comprende además un quinto módulo para transmitir un correo electrónico que tiene acceso a el al menos un exploit al ordenador de destino para obtener el control sobre el ordenador de destino.

12. El sistema de la reivindicación 7, que comprende además un quinto módulo para transmitir el al menos un exploit generado al ordenador de destino para obtener el control de las aplicaciones determinadas.

13. Un medio legible por ordenador que tiene un programa para proporcionar pruebas de penetración de red dentro de una red, comprendiendo el programa una lógica configurada para realizar las etapas de: recopilar direcciones de correo electrónico válidas de un servidor SMTP; transmitir al menos un correo electrónico de determinación a al menos una de las direcciones de correo electrónico recopiladas, en donde el correo electrónico de determinación se transmite a un ordenador de destino asociado con la al menos una dirección de correo electrónico recopilada, siendo el correo electrónico de determinación un correo electrónico que contiene un código de ordenador que es capaz de determinar al menos una aplicación que se está ejecutando en el ordenador de destino; determinar al menos una vulnerabilidad de la al menos una aplicación determinada que se está ejecutando en el ordenador de destino; y generar al menos un exploit para aprovechar la al menos una vulnerabilidad determinada de la aplicación,

permitiendo de este modo que forme parte del ordenador de destino.

DE CONTACTO Y DE DIRECCIÓN DE CORREO ELECTRÓNICO

EL NAVEGADOR SE CONECTA AL