PUESTA EN PELIGRO AUTOMATIZADA DE LA SEGURIDAD DE UN SISTEMA INFORMATICO.
Un sistema para realizar pruebas de penetración de una red informática objetivo comprendiendo el sistema:
medios para instalar un agente remoto en la red informática objetivo, en el que el agente remoto comprende un servidor proxy configurado para recibir y ejecutar llamadas de sistema;
un agente local previsto en una consola y configurado para recibir y ejecutar órdenes;
una interfaz de usuario prevista en la consola y configurada para enviar órdenes a y recibir información desde el agente local, procesar las informaciones, y presentar la información procesada;
una base de datos configurada para almacenar la información recibida desde el agente local;
una interfaz de red conectada al agente local y configurada para comunicarse a través de una red con el agente remoto instalado en la red informática objetivo; y
medios para almacenar módulos de aprovechamiento de vulnerabilidades de seguridad para su ejecución por el agente local y/o el agente remoto,
caracterizado porque
el agente remoto está adaptado además para ejecutar módulos de aprovechamiento de vulnerabilidades de seguridad en una máquina virtual configurada para ejecutar instrucciones en lenguaje de secuencia de comandos de alto nivel recibidas a través de la red
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US02/22457.
Solicitante: CORE SDI, INCORPORATED.
Nacionalidad solicitante: Estados Unidos de América.
Dirección: 12TH FLOOR, 44 WALL STREET,NEW YORK, NY 10005.
Inventor/es: FRIEDRICHS,OLIVER, CACERES,MAXIMILIANO GERARDO, RICHARTE,GERARDO GABRIEL, FRIEDMAN,AUGUSTIN AZUBEL, QUESADA,RICARDO, NOTARFRANCESCO,LUCIANO, BURRONI,JAVIER, AJZENMAN,GUSTAVO, BECEDILLAS,GABRIEL, LEIDL,BRUCE.
Fecha de Publicación: .
Fecha Concesión Europea: 18 de Noviembre de 2009.
Clasificación PCT:
- G06F17/30
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
Clasificación antigua:
- G06F17/30
Fragmento de la descripción:
Puesta en peligro automatizada de la seguridad de un sistema informático.
La presente solicitud reivindica el beneficio de la solicitud estadounidense provisional n.º 60/304,270, presentada el 10 de julio de 2001, y la solicitud estadounidense provisional n.º 60/313,793, presentada el 20 de agosto de 2001.
Antecedentes de la invención
La presente invención se refiere en general a analizar la seguridad de un sistema informático poniendo en peligro la seguridad de manera sistemática.
Los sistemas informáticos que están conectados a una red informática, tal como Internet, deben emplear medidas de seguridad para impedir que usuarios no autorizados accedan a estos sistemas. Las medidas de seguridad deben diseñarse e implementarse apropiadamente con el fin de impedir un acceso no autorizado. Sin embargo, es difícil evaluar la eficacia de tales medidas de seguridad, particularmente en vista de la sofisticación creciente de las técnicas usadas para obtener un acceso no autorizado a sistemas informáticos.
La eficacia de las medidas de seguridad de un sistema informático puede evaluarse realizando una auditoría de seguridad informática en la que se analizan y evalúan diversos aspectos de seguridad informática.
La auditoría de seguridad puede incluir una prueba de penetración, que es un procedimiento mediante el cual un auditor de seguridad intenta obtener el acceso no autorizado al sistema informático.
De manera convencional, se realiza una prueba de penetración usando múltiples herramientas y procedimientos ad hoc, en vez de según una norma o procedimiento formalizado. Una prueba de penetración típica incluye las siguientes fases:
1. Recopilación de información: El auditor de seguridad recopila detalles técnicos acerca del sistema objetivo e información relativa al propietario del sistema objetivo.
2. Planificación y análisis de la información: El auditor analiza la información para planificar en planteamiento global mediante el que van a realizarse las pruebas de penetración. Esto tiende a ser una tarea difícil y que lleva tiempo y requiere personal experimentado y entendido que tenga una base de conocimientos altamente especializados.
3. Detección de vulnerabilidades: El auditor examina el sistema objetivo para determinar vulnerabilidades de seguridad basándose en el plan de máximo nivel desarrollado en la fase de planificación y análisis de la información. Las vulnerabilidades de seguridad incluyen, por ejemplo, configuraciones erróneas del sistema que habilitan a un usuario no autorizado para obtener el acceso usando una serie conocida de etapas.
La búsqueda de vulnerabilidades puede realizarse usando un escáner de vulnerabilidades automatizado, que es un paquete de software que determina si pueden usarse ciertos defectos conocidos para obtener un acceso no autorizado al objetivo. También puede realizarse una exploración manual de las vulnerabilidades para investigar vulnerabilidades comunes que, por diversos motivos, puede no haber detectado un escáner automatizado. Sin embargo, las técnicas de exploración de vulnerabilidades de este tipo únicamente enumeran las vulnerabilidades, en vez de tratar realmente de aprovecharlas.
Las búsquedas de vulnerabilidades automatizadas y manuales pueden complementarse con la investigación realizada por el auditor de seguridad para determinar vulnerabilidades desconocidas previamente. Una investigación de este tipo se realiza normalmente usando una copia (también denominada un espejo) de la aplicación de software que está investigándose y/o el hardware asociado.
4. Puesta en peligro y acceso al sistema objetivo: El auditor intenta poner en peligro el sistema objetivo basándose en los resultados de la fase de detección de vulnerabilidades usando programas que están disponibles para el público o desarrollados de manera personalizada.
Los programas disponibles para el público diseñados para aprovechar las vulnerabilidades del sistema tienden a ser poco fiables y requieren pruebas y personalización antes de su uso. En general, aprovechar las vulnerabilidades detectadas, independientemente de las herramientas que estén usándose, requiere personal experimentado y entendido que tenga una base de conocimientos altamente especializados. Además, puede requerirse una infraestructura de laboratorio considerable para desarrollar y someter a prueba las herramientas de aprovechamiento de las vulnerabilidades, particularmente cuando el sistema objetivo emplea diferentes plataformas de sistema operativo.
5. Análisis y notificación: Esta fase incluye consolidar y presentar la información obtenida durante las fases previas y desarrollar recomendaciones para remediar las vulnerabilidades de seguridad identificadas durante la prueba de penetración. Mantener manualmente un registro de todas las acciones emprendidas y de la información recopilada durante las pruebas lleva mucho tiempo y es propenso a error. Además, la preparación de registros completos y precisos está sujeta a la disciplina del personal que realiza la prueba.
6. Limpieza: la fase de puesta en peligro y acceso normalmente da como resultado que se realicen cambios significativos en el sistema objetivo. En la fase de limpieza, el auditor devuelve el sistema a su configuración original. Para realizar una limpieza satisfactoria, debe mantenerse una lista detallada y exacta de todas las acciones realizadas durante las pruebas, aunque sólo hay disponibles herramientas rudimentarias para mantener tal información.
En vista de las deficiencias comentadas anteriormente, existe la necesidad de un sistema y un procedimiento para realizar una prueba de penetración automatizada empleando la puesta en peligro del sistema informático que adopte un planteamiento completamente nuevo y supere los inconvenientes de las técnicas convencionales.
Sumario de la invención
La presente invención proporciona generalmente un sistema, un procedimiento y un producto de programa informático para ejecutar el procedimiento novedosos para realizar pruebas de penetración automatizadas para analizar la seguridad de un sistema informático poniendo en peligro la seguridad de manera sistemática.
Un aspecto de la presente invención proporciona un sistema, un procedimiento y un producto de programa informático para ejecutar el procedimiento para realizar pruebas de penetración de una red informática objetivo. El sistema comprende medios para instalar un agente remoto en la red informática objetivo. El agente remoto comprende un servidor proxy configurado para recibir y ejecutar llamadas de sistema. Un agente local está previsto en una consola y configurado para recibir y ejecutar órdenes. Una interfaz de usuario prevista en la consola y configurada para enviar órdenes a y recibir información desde el agente local, procesar la información, y presentar la información procesada. Una base de datos está configurada para almacenar la información recibida desde el agente local. Una interfaz de red está conectada al agente local y configurada para comunicarse a través de una red con el agente remoto instalado en la red informática objetivo. Se prevén medios para almacenar módulos de aprovechamiento de vulnerabilidades de seguridad para su ejecución por el agente local y/o el agente remoto. El agente remoto está adaptado además para ejecutar módulos de aprovechamiento de vulnerabilidades de seguridad en una máquina virtual configurada para ejecutar instrucciones en lenguaje de secuencia de comandos de alto nivel recibidas a través de la red.
Las realizaciones de este aspecto pueden incluir una o más de las siguientes características. La interfaz de usuario puede habilitar a un usuario para seleccionar uno de los módulos e iniciar la ejecución del módulo seleccionado o bien en el agente local o bien en el agente remoto. La interfaz de usuario puede proporcionar una representación gráfica de la red informática objetivo.
Los medios para instalar un agente remoto pueden incluir además medios para almacenar un primer módulo configurado para ejecutarse en la consola para aprovechar una vulnerabilidad de seguridad en un primer ordenador central objetivo de la red objetivo. Medios para instalar un primer agente remoto en el primer ordenador central objetivo. El primer agente remoto está configurado para comunicarse con la consola y un segundo agente remoto. Medios para almacenar un segundo módulo configurado para ejecutarse...
Reivindicaciones:
1. Un sistema para realizar pruebas de penetración de una red informática objetivo comprendiendo el sistema:
2. El sistema según la reivindicación 1, en el que la interfaz de usuario permite que un usuario seleccione uno de los módulos e inicie la ejecución del módulo seleccionado o bien en el agente local o bien en el agente remoto.
3. El sistema según la reivindicación 1 ó 2, en el que la interfaz de usuario proporciona una representación gráfica de la red informática objetivo.
4. El sistema según la reivindicación 1, en el que los medios para instalar un agente remoto incluyen
5. El sistema según la reivindicación 4, que comprende además un segundo agente remoto instalado en el segundo ordenador central objetivo de la red objetivo, estando configurado el segundo agente remoto para comunicarse con el primer agente remoto.
6. Un procedimiento para realizar pruebas de penetración de una red informática objetivo, que comprende:
7. El procedimiento según la reivindicación 6, que comprende además:
8. El procedimiento según la reivindicación 6 ó 7, que comprende además proporcionar una representación gráfica de la red informática objetivo usando la interfaz de usuario.
9. El procedimiento según la reivindicación 8, comprendiendo la etapa de instalar un agente remoto en la red informática objetivo:
10. El procedimiento según la reivindicación 9, que comprende además:
11. El procedimiento según la reivindicación 9, que comprende además instalar un segundo agente remoto en el segundo ordenador central objetivo de la red objetivo como resultado de aprovechar una vulnerabilidad de seguridad del segundo ordenador central objetivo, estando configurado el segundo agente remoto para comunicarse con el primer agente remoto.
12. El procedimiento según la reivindicación 10, que comprende además las etapas de:
13. El procedimiento según la reivindicación 9, que comprende además las etapas de:
14. El procedimiento según la reivindicación 9, que comprende además las etapas de:
15. El procedimiento según la reivindicación 9, que comprende además las etapas de:
16. Un producto de programa informático para ejecutar un procedimiento según cualquiera de las reivindicaciones 6 a 15.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]