Proceso para repartir las pruebas de manera distribuida y paralela

Para distribuir las pruebas implementadas en cada dispositivo, fue necesario implementar un balanceador de carga con la capacidad de identificar cuáles pruebas requerían mayor tiempo de ejecución y las dependencias unas de otras, esto se hizo posible con ayuda de funciones nativas de MPI como scattering y gathering. Scattering (dispersión), es la función que permite distribuir o dispersar el conjunto de pruebas que debe realizar cada dispositivo, en este caso el dispositivo maestro es el encargado de ejecutar esta función. Una vez los dispositivos esclavos reciban el conjunto de pruebas, estos proceden a su ejecución de manera independiente, generando los resultados, recomendaciones y su respectivo riesgo. Finalmente, cuando todos los dispositivos hayan terminado sus procesos, ejecutan la función definida como Gathering (recoger/reunir) para notificarle al dispositivo maestro que el proceso ha finalizado para así completar el pentest.

La computación paralela permitió ejecutar algunas pruebas simultáneamente gracias a la librería multiprocessing de python [71], mediante la cual fue posible aprovechar los múltiples recursos de los dispositivos como son los cuatro núcleos que poseen y así permitir que cada proceso funcione de manera independiente (dentro de cada dispositivo) para las pruebas que consumen demasiado tiempo de ejecución o que tengan aspectos en común. Algunas de las pruebas que se ejecutan de forma paralela son OTG-INFO-002 (huellas digitales del servidor web), OTG-INFO-008 (huellas digitales del framework) y OTG-INFO-009 (huellas digitales de la aplicación), las cuales se implementaron con ayuda de la herramienta whatweb. Asimismo, ocurrió un comportamiento similar en las pruebas OTG-INFO-002 (enumerar aplicaciones en el servidor web) y OTG-INFO-010 (mapa de arquitectura de la aplicación), pero estas pruebas se hicieron con ayuda de la herramienta nmap.

71

3.6.5 Uso de la metodología del cálculo de riesgo según

OWASP

Para estimar la severidad del riesgo asociado a cada prueba se utilizó la metodología del cálculo de riesgo, definida en la sección 2.10. El documento OWASP Top 10 2017 calcula el riesgo para la explotabilidad, prevalencia, detectabilidad e impacto técnico para cada categoría, pero no tiene en cuenta tanto la probabilidad del agente de amenaza como el impacto del negocio. Para el agente de amenaza, cuyo objetivo es estimar la probabilidad de un ataque exitoso, se tuvo en cuenta cuatro factores, cada uno definido con valores asociados para lograr calcular el promedio de la probabilidad. Estos factores fueron modificados en un rango de 1 a 3 con el fin de obtener la misma escala de riesgos que utiliza la metodología OWASP Top 10. A continuación se describen los factores para el agente de amenaza:

● Nivel de habilidad: ¿Técnicamente cómo está capacitado el grupo de agentes de amenaza? Sin habilidades técnicas (1), Algunas habilidades técnicas (1), Usuario avanzado de informática (2), Habilidades de red y programación (2), Habilidades de penetración en seguridad (3).

● Motivación: ¿Qué tan motivado esta el grupo de agentes de amenaza para encontrar y explotar vulnerabilidades? Bajo o sin recompensa (1), posible recompensa (2), alta recompensa (3).

● Oportunidad: ¿Qué recursos y oportunidades se requieren para que el grupo de agentes de amenaza logre encontrar y explotar vulnerabilidades? Acceso total o requiere recursos costosos (1), Acceso especial o requiere recursos (2), Algunos accesos o requiere algunos recursos (3), Sin acceso o no requiere recursos (3).

● Tamaño: ¿Qué tan grande es el grupo de agentes de amenaza? Desarrolladores (1), administradores de sistemas (1), Usuario de la red interna (2), Socios (2), Usuarios autenticados (2), Usuarios anónimos de internet (3). Cabe destacar que las preguntas para calcular el valor del agente de amenaza fueron contestadas por los estudiantes, tomando como referencia el peor de los casos. La severidad del riesgo asociado a cada una de las pruebas se puede ver en la tabla 12. En el Anexo G se puede visualizar detalladamente el valor cuantitativo y cualitativo de cada uno de los factores para el agente de amenaza.

Prueba _{Vectores de Ataque Debilidades de Seguridad Impacto}

Puntaje ID Agente de

Amenaza Explotabilidad Prevalencia Detectabilidad Técnico

OTG-INFO-002 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 MODERADO:2 2,2 OTG-INFO-003 1,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,5 OTG-INFO-004 2,0 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,7 OTG-INFO-005 1,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,5 OTG-INFO-007 1,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,5

72 OTG-INFO-008 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 MODERADO:2 2,2 OTG-INFO-009 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 MODERADO:2 2,2 OTG-INFO-010 2,0 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,7 OTG-CONFIG-001 1,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,5 OTG-CONFIG-002 1,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,5 OTG-CONFIG-005 1,7 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,6 OTG-CONFIG-006 2,0 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,7 OTG-CONFIG-007 1,7 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 GRAVE:3 2,1 OTG-CONFIG-008 1,7 PROMEDIO:2 COMÚN:2 FÁCIL:3 GRAVE:3 2,1 OTG-IDENT-004 1,7 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,1 OTG-AUTHN-001 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 GRAVE:3 2,2 OTG-AUTHN-002 2,2 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,3 OTG-AUTHN-003 2,2 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,3 OTG-AUTHZ-003 2,2 PROMEDIO:2 COMÚN:2 PROMEDIO:2 GRAVE:3 2,0 OTG-AUTHZ-004 1,7 DIFÍCIL:1 COMÚN:2 PROMEDIO:2 MODERADO:2 1,6 OTG-SESS-002 1,7 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,1 OTG-SESS-003 1,5 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,1 OTG-SESS-007 1,7 FÁCIL:3 COMÚN:2 PROMEDIO:2 GRAVE:3 2,1 OTG-INPVAL-001 2,5 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,8 OTG-INPVAL-002 2,5 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,8 OTG-INPVAL-005 2,2 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,5 OTG-INPVAL-005 2,5 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,6 OTG-INPVAL-005 2,5 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,6 OTG-INPVAL-005 2,5 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,6 OTG-INPVAL-005 2,2 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,5 OTG-ERR-001 1,7 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,6 OTG-CRYPST-001 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 GRAVE:3 2,2 OTG-CRYPST-003 2,0 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 GRAVE:3 2,2 OTG-BUSLOGIC-007 1,7 PROMEDIO:2 DIFUNDIDO:3 DIFÍCIL:1 MODERADO:2 1,9 OTG-CLIENT-001 2,2 FÁCIL:3 DIFUNDIDO:3 FÁCIL:3 MODERADO:2 2,8 OTG-CLIENT-003 2,2 FÁCIL:3 COMÚN:2 FÁCIL:3 GRAVE:3 2,5 OTG-CLIENT-009 2,2 PROMEDIO:2 DIFUNDIDO:3 PROMEDIO:2 MODERADO:2 2,3

Tabla 12. Cálculo del riesgo para cada una de las pruebas implementadas. Fuente: Adapatado de [5]

El valor de la columna agente de amenaza, es el promedio de los factores anteriormente mencionados que logra contemplar la prueba. La explotabilidad, prevalencia, detectabilidad e impacto técnico, son valores que ya vienen definidos en el documento OWASP TOP 10 2017. Para calcular la probabilidad para cada prueba se lleva a cabo un promedio entre el agente de amenaza, explotabilidad, prevalencia y detectabilidad, teniendo así su respectivo valor en la columna puntaje.

Para calcular el impacto de negocio se debe solicitar al cliente o usuario responder cuatro preguntas, cada una definida con valores asociados que vienen siendo los factores necesarios para poder calcular impacto general. A continuación, se describen las preguntas a contestar:

73 ● Daño financiero: ¿Cuál sería la pérdida financiera si se llegara a explotar alguna vulnerabilidad? Menor que la mitigación de la vulnerabilidad (1), menor al beneficio anual (1), mayor al beneficio anual (2), bancarrota (3)

● Daño a la reputación: Si alguna de las vulnerabilidades es explotada. ¿Cuál sería el daño en términos de reputación de negocio? Daño mínimo (1), pérdida de cuentas (2), pérdida de la buena imágen (2), pérdida del valor de marca (3) ● Incumplimiento: ¿Cuál sería el incumplimiento en términos de compromiso

del negocio, si su aplicación es vulnerada? Incumplimiento menor (1), claro incumplimiento (2), incumplimiento de alto perfil (3)

● Violación de la privacidad: ¿Cuánta información personal sería revelada, si alguna vulnerabilidad es explotada? Información de una persona (1), información de centenares de personas (2), información de miles de personas (3), información de millones de personas (3)

Al igual que el agente de amenaza, el impacto de negocio se obtiene al promediar los valores de cada pregunta que fue contestada por el cliente o usuario. Luego se promedian los dos valores del impacto (técnico según la tabla 12 y del negocio) y se obtiene el impacto general.

Una vez calculado los valores cuantitativos para la probabilidad y el impacto de cada prueba, se deben multiplicar dichos valores para obtener la severidad general del riesgo (Severidad general del riesgo = Probabilidad X Impacto) y con este resultado conseguir el riesgo cualitativo. Esto se hace por medio de una escala (mirar tabla 13), la cual está dividida en tres rangos donde es posible obtener los valores BAJO, MEDIO y ALTO con intervalos entre 0 a 3, 3 a 6 y 6 a 9, respectivamente.

Niveles de Probabilidad e Impacto

0 to <3 LOW

3 to <6 MEDIUM

6 to 9 HIGH

Tabla 13. Nivel de probabilidad e impacto para calcular la severidad del riesgo. Fuente.Tomado de [29]

Después de que se hayan clasificado los riesgos, el propietario o las personas encargadas de la aplicación web deberán realizar una lista priorizada de qué riesgos solucionar o mitigar. Como regla general, los riesgos críticos deben de ser corregidos al instante, no importa si su costo es alto o bajo o si para solucionarlos son demasiados complejos.

74

3.7 Despliegue del prototipo hardware y software

Lo anterior describe la configuración e implementación del cluster para su correcto funcionamiento, sin embargo, este solo funciona como una aplicación que es ejecutada por consola, en otras palabras, si se desea realizar un pentest sobre cualquier aplicación web se debe trasladar físicamente el cluster al sitio o tener un administrador encargado que ingrese el arduo comando para iniciar la tarea. Para dar solución a lo anterior y para que cualquier usuario final no tenga inconvenientes a la hora de realizar un pentest, se decidió implementar una aplicación web sencilla y amigable que proporciona las funcionalidades que se han venido tratado a lo largo de este capítulo.

Las tecnologías utilizadas para la implementación de la aplicación web fueron Flask, como el microframework para desarrollo web, la librería de Python llamada pdfkit la cual interactúa con la herramienta wkhtmltopdf (escrita en C++) que permite transformar contenido HTML a PDF para la generación de los reportes tanto ejecutivo como técnico. Cabe destacar que el tiempo tomado para la generación de los reportes oscila entre 5-10 segundos debido al renderizado de las gráficas.

A continuación, se muestra por medio de un diagrama de despliegue la comunicación entre los componentes de los distintos nodos que conforman el prototipo hardware y software, así como la disposición y relación física de los artefactos y dispositivos como servidores web, bases de datos, cluster (Back-end) y la aplicación web (Front-end)

Figura 23. Diagrama de despliegue del prototipo hardware y software. Fuente: Propia.

Según la figura 23, la aplicación web establece una conexión por un lado con el servidor de base de datos alojado en los servicios de Microsoft Azure por medio del protocolo TCP/IP para crear y obtener la información correspondiente al pentest como es la dirección URL/IP de la aplicación web que proporciona el usuario para realizar

75 el pentest. Por otro lado, se establece una comunicación con un servidor alojado en la Universidad del Cauca el cual ejecuta una distribución de Debian utilizando el protocolo SSH (Secure SHell) para establecer una conexión directa con el cluster y poder enviar el comando necesario para realizar el pentest a la aplicación web deseada, esto se hizo de esta manera ya que físicamente el cluster se encuentra dentro de las instalaciones de la Universidad del Cauca. Finalmente, el servidor establece una comunicación nuevamente por SSH con el dispositivo maestro del cluster para así realizar el pentest y almacenar toda la información en la base de datos en Azure.

3.8 Interfaz de la aplicación web y generación de reportes