Fuzzing: cuando la vieja escuela aún es efectiva

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Fuzzing no es algo nuevo en el mercado de la seguridad cibernética.

Es una técnica sencilla para identificar problemas y vulnerabilidades que puede aplicarse también a sistemas de control industrial.

Estos tipos de vulnerabilidades suelen ser simples, pero pueden crear daños significativos, especialmente si el objetivo es un sistema de control industrial.

Debido a que los dispositivos industriales están proliferando como parte del movimiento para modernizar muchas industrias, y porque esos dispositivos ahora pueden estar directa o indirectamente expuestos a Internet, esta técnica básica podría ser utilizada por los atacantes.

Mientras que los fabricantes de dispositivos industriales están haciendo mejoras en la seguridad de sus equipos, éste es un gran desafío.

Afortunadamente, las tecnologías están disponibles para monitorear e identificar ataques específicos que utilizan vulnerabilidades descubiertas con fuzzing, que podrían causar mal funcionamiento a componentes industriales.

La técnica de fuzzing se realiza con un programa que intenta descubrir vulnerabilidades de seguridad enviando una entrada arbitraria a una aplicación determinada. Si el programa contiene una vulnerabilidad que puede conducir a una excepción, el choque o el error de servidor (en el caso de web apps), puede explicitar que una vulnerabilidad ha sido descubierta.

A los inyectores de falta se les denomina generalmente fuzzers, precisamente por esta razón: ellos generan faltas y las envían a una aplicación de monitoreo. Generalmente los fuzzers son adecuados para el identificar fallas de buffer overflow, DoS, SQL Injection, XSS, y bugs Format String.

Estas aplicaciones realizan un trabajo pobre en el encuentro de vulnerabilidades relacionada con el descubrimiento de la información, defectos de cifrado y cualquier otra vulnerabilidad que no hace que el programa colapse. No obstante, son importantes para apoyar la labor de seguridad de cualquier programador.

Esta técnica de la vieja escuela nació en 1990 gracias a Barton Miller en la Universidad de Wisconsin en Madison, quien es considerado el primer fuzzer. Hoy en día se cuentan por cientos las aplicaciones que cumplen esta función, y son utilizadas generalmente en tests de penetración.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS