Scanner de vulnerabilidades ( Introducción )

Una vulnerabilidad en seguridad informática hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales.

Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático.

Algunas vulnerabilidades típicas suelen ser:

• Desbordes de pila y otros buffers.
• Symlink races.
• Errores en la validación de entradas como: inyección SQL, bug en el formato de cadenas, etc.
• Secuesto de sesiones.
• Ejecución de código remoto.
• XSS.”

Por lo tanto, el Escaneo de vulnerabilidades se refiere a la automatización por medio de software especializado para la identificación de dichas fallas (bugs).

El «escáner de vulnerabilidad» (también denominado «analizador de red«) es una aplicación que permite realizar una verificación de seguridad en una red mediante el análisis de los puertos abiertos en uno de los equipos o en toda la red. El proceso de análisis utiliza sondas (solicitudes) que permiten determinar los servicios que se están ejecutando en un host remoto.

Esta herramienta permite identificar los riesgos de seguridad. En general, con este tipo de herramienta es posible efectuar un análisis en una serie o lista de direcciones IP a fin de realizar una verificación completa de una red.

Cómo funciona un escáner

El escáner de vulnerabilidades permite identificar los puertos que están abiertos en un sistema al enviar solicitudes sucesivas a diversos puertos, además de analizar las respuestas para determinar cuáles están activos.

Mediante un análisis exhaustivo de la estructura de los paquetes TCP/IP recibidos, los escáneres de seguridad avanzados pueden identificar, a veces, qué sistema operativo está utilizando el equipo remoto, así como las versiones de las aplicaciones asociadas con los puertos y, cuando sea necesario, recomendar actualizaciones (esto se conoce como caracterización de la versión).

En general, se usan dos métodos:

• Adquisición activa de información, que consiste en enviar una gran cantidad de paquetes con encabezados característicos que normalmente no cumplen con las recomendaciones y analizar las respuestas para identificar la versión de la aplicación utilizada. Como todas ellas utilizan protocolos ligeramente diferentes, esto posibilita su diferenciación.
• Adquisición pasiva de informaciones (también denominado análisis pasivo o análisis no agresivo), un método mucho menos invasivo que reduce la probabilidad de ser detectado por un sistema detector de intrusiones. Funciona de modo similar, efectuando un análisis de los campos de datagramas IP que circulan en una red utilizando un rastreador de puertos. Dada su naturaleza pasiva, la versión analiza los cambios en los valores de campo dividiéndolos en una serie de fragmentos, lo que requiere un tiempo de análisis mucho más prolongado. Por ello, este tipo de análisis es muy difícil e incluso imposible de detectar en determinadas ocasiones.

Ventajas del escáner de puertos

Los escáneres de seguridad son herramientas sumamente útiles para los administradores de sistemas y redes, ya que les permite supervisar la seguridad de todos los equipos que están a su cargo.

Sin embargo, esta herramienta puede ser utilizada por los piratas informáticos para identificar las vulnerabilidades del sistema.

Etiquetas: debilidad, hotfix, scanner, vulnerabilidad