viernes, octubre 13, 2017

Faast for WP: Pentesting as a Self Service para tu WordPress

A lo largo de los últimos años hemos ido desarrollando nuestra visión del Pentesting Persistente a través de dos herramientas, como son Faast y Vamps. Con estas soluciones hacemos un pentesting 365 días al año, 24 x 7, de la superficie expuesta a Internet de una organización, y nos permite hacer una revisión voraz de todo la infraestructura.

Figura 1: Faast for WP: Pentesting as a Self Service para tu WordPress


Durante el último Security Innovation Day 2017 presentamos la evolución de nuestras soluciones empresariales B2B para llevarlas a verticales de empresas mono-plataforma, y comenzamos por WordPress lanzando Faast for WordPress.

Figura 2: Evolución de nuestra visión del Pentesting

La aproximación que utilizamos para la construcción de esta solución verticalizada es la existencia de muchas pequeñas empresas que utilizan WordPress como único framewok en su única exposición a Internet. Es decir, que toda la infraestructura que tienen en la red es un servidor de WordPress en el que basan su negocio.

Figura 3: QRCode para garantizar la propiedad del sitio

Nosotros hemos estudiado a fondo los problemas de seguridad de WordPress, incluso sus limitaciones en arquitectura. Dichos trabajos se han plasmado en plugins para Faast, en el libro de Máxima Seguridad en WordPress y lo que se explica en la charla de Hardening WordPress like a Hacker que hicimos a finales del año pasado.

Figura 4: Resultados de las auditorías periódicas de un sitio WordPress

Ahora, hemos querido juntar todo ese en una herramienta "Self Service" en la que el administrador de un sitio pueda lanzar cuando lo desee un escaneo de seguridad a su WordPress desde nuestro servicio Faast for WordPress. Para ello debe demostrar que el servidor le pertenece añadiendo un QRCode (figura 3) que genera nuestra plataforma a su servicio.

Figura 4: Resultados de cada evaluación del sitio

Después, desde una consola muy sencilla cada usuario puede dar de alta su WordPress y lanzar los procesos de pentesting periódica o diariamente. Nosotros mantenemos toda la información de la knowledge base actualizada, y dando consejos de cómo solucionar cada una de las vulnerabilidades y/o debilidades que se detecten.


Figura 5: Funcionamiento de Faast for WordPress

El funcionamiento es muy sencillo, y para que lo veáis os hemos hecho este pequeño vídeo que muestra cómo sería la experiencia del usuario. Simplemente dar de alta del dominio, lanzar el escaner y recibir las indicaciones. Por detrás, toda la arquitectura de Faast funciona con un proceso de algoritmo voraz revisando todos los puntos del sitio.

Saludos Malignos!

7 comentarios:

  1. Me gustaría saber, si los usuarios corrientes podremos tener acceso a la herramienta. Y si es así, cuando y como acceder a ella?

    ResponderEliminar
  2. Buenos días Chema, mi nombre es Antonio y no tengo otra forma de contactar contigo.
    La verdad que te escribo por desesperación ya que llevo 72 horas hablando con telefónica y nadie me da una solución a mi problema.
    Por lo menos, si te da tiempo, lee esto.
    Llevo 17 años con los servicios contratados con telefónica y hasta hoy todo ha funcionado bien. He cambiado de local y es cuando han venido los problemas.
    Te cuento mi historia desde el principio. En mis inicios telefónica regalaba IP fija a todos los clientes que contrataban ADSL, al contratarla me asignaron un numero de IP que he mantenido hasta el cambio de fibra óptica, con la consecuencias de cambiar toda la configuración de los servicios que tengo aplicados a mis clientes. He pasado varios años con esta nueva IP sin problemas, hasta que me he cambiado de ubicación en la misma localidad y código postal.
    Un mes antes del traslado me puse en contacto con Telefónica para saber todo lo necesario para dicho traslado, como: si la IP real estática que tenía actualmente se cambiaba, si algún servicio contratado con telefónica se perdía.
    A todas estas respuestas la operadora me comento que no me preocupara, que seguiría todo como estaba anteriormente.
    15 días antes de mudarme los volví a llamar para realizar el cambio de domicilio, reitere mi pregunta que si la IP me la cambiaban y me dijeron de nuevo que no, que todo seguiría igual.
    Con el cambio, todos mis servicios dejan de funcionar, las copias de seguridad de mis clientes, los monitoreo a servidores y ordenadores de mis clientes…
    Desde el miércoles 11/10/2017, estoy contactando con Telefónica para que me devuelvan la IP real que tenía, el departamento comercial dice que ellos no son, que son los del servicio técnico, los del servicio técnico que no, que son del departamento comercial, así 72 horas.
    Hoy a las 10:30 me ha dicho una comercial que no es posible la asignación manual de una IP, que el sistema lo hace aleatoriamente, y que me tengo que quedar con la que tengo actualmente.
    En informática nada es imposible, según dicen algunos, creo que asignarme mi antigua IP no sería ningún problema para Telefónica.
    Te escribo por desesperación antes de ponerme a cambiar todos los servicios que doy a mis clientes, y la consecuencia de tiempo y dinero que me va a costar.
    No sé si esto me ayudara pero compro libros de 0xWord.
    Te sigo asiduamente y por supuesto eres mi última esperanza.
    Espero alguna respuesta.
    Gracias.

    ResponderEliminar
    Respuestas
    1. Hola Antonio, lamento tu problema pero dudo que Chema pueda ayudarte, ni tan siquiera Telefónica a pesar de que tu problema haya podido ser por un error de desinformación. Te sugiero contactes con alguna empresa consultora de VOIP/Informática o particular profesional en tu zona para que te configure el servicio convenientemente.

      Eliminar
  3. Excelente implementación chicos! y felicidades al equipo de Faast.

    Saludos.

    ResponderEliminar
  4. Hola chema es cierto q se va a llevar a cabo la operación facebook de anonimous

    ResponderEliminar
  5. Buenos días, ante todo gracias por tu respuesta Admin. Decirte que no he contestado antes porque una responsable de telefónica me llamó al día siguiente de escribir en este post.
    Me comento que ella no se había dado por vencida y que lo estaba intentado, que no lo diese por perdido.
    Mi sorpresa que hace 2 días, voy a la oficina por la tarde y no tengo internet. Llamo a telefónica y me comenta el soporte técnico que resetee el Router a ver si con eso se me soluciona la conexión a internet. Y guala, además de tener internet tengo mi antigua IP (maravilloso), no sé si tu o Chema o la compañera de Telefónica habéis tenido algo que ver en todo esto, pero os lo agradezco enormemente.
    ¿He dicho que sois unos CRACK?
    Un saludo y gracias de nuevo.

    ResponderEliminar