Como construir un diccionario para Penetration Testing
Mutator Tool es una herramienta que puede ayudar a los especialistas de seguridad a probar que tan predecibles son realmente las contraseñas utilizadas en las empresas, ya que la forma en que construimos nuestras contraseñas, suele ser un punto débil si no se tienen los cuidados necesarios. Si bien el tamaño de la contraseña es importante, no utilizar combinaciones sencillas también lo es.
Cuando se realiza un Penetration Test una de las primeras fases es el reconocimiento, donde se recopila toda aquella información de la empresa que se encuentre pública: nombres de usuario, direcciones de correo, direcciones IP entre otros datos que puedan dar pistas sobre las configuraciones internas de la organización.
En fases posteriores del PenTest se puede probar, entre otras cosas, lo robusto de las contraseñas utilizadas en los diferentes perfiles de la empresa. Si bien existen diccionarios de palabras que pueden ayudar con la tarea, resultaría interesante construir nuestro propio diccionario basado en la información recopilada y es en este punto donde Mutator Tool puede resultar útil.
¿Qué permite hacer la herramienta?
Mutator Tool, es una herramienta que basada en una palabra puede generar una serie de combinaciones alternando minúsculas y mayúsculas, mezclando números, caracteres especiales y otras cadenas definidas previamente.
Una vez se obtiene el diccionario de palabras puede hacerse una revisión exhaustiva que permita establecer si hay alguna coincidencia entre este listado y alguna de las contraseñas utilizadas en los sistemas de la empresa.
Configuración y ejecución de Mutator Tool
Esta herramienta tiene un módulo llamado mutator.c que contiene una sección en la que se pueden definir los caracteres especiales que se van a utilizar, además de aquellos caracteres que se van a reemplazar y las cadenas adicionales que se van a mezclar con las palabras que hayamos definido.
Una vez configuradas las opciones de mutación, se ejecuta la herramienta para que esta realice los cambios sobre la lista de palabras definida.
En este caso, de una lista de cinco palabras hemos obtenido un diccionario de más de 10000 combinaciones diferentes.
Como se puede ver en la captura anterior, Mutator Tool toma las palabras y les va a haciendo modificaciones de acuerdo a las características que hayan sido definidas.
Alternativas de protección
Como ya mencionamos, esta herramienta puede utilizarse para determinar que tan predecibles pueden ser las contraseñas. Pero está el otro lado de la historia, ¿qué pasa si algún atacante utiliza esta herramienta para tratar de acceder a los servicios de la organización?.
Si bien el objetivo de estas herramientas es ayudar a fortalecer la seguridad de la información, pueden existir personas que las utilicen para tratar de vulnerarla. Y es precisamente esta cuestión lo que plantea la importancia de contar con un segundo factor de autenticación.
Además de tener configurado un Firewall que evite conexiones sospechosas, es importante que los especialistas de seguridad de las empresas hagan una revisión periódica de los logs de seguridad para detectar si hay intentos de conexión que puedan considerarse como peligrosos.