SAIVS, ¿el principio del fin de los pentesters humanos?

Actualmente las auditorías de aplicaciones web son realizadas por ingenieros de seguridad o pentesters y muchas veces la identificación de las vulnerabilidades depende en gran medida de su pericia, experiencia e intuición. ¿Y si elimináramos el factor humano para automatizar estas auditorías?

¿Sería posible sustituir completamente a un pentester humano por un software que no comete errores ni descuidos, capaz de obtener mayores tasas de detección de vulnerabilidades? ¿Y si se aprovecharan estos bots para los programas de recompensas de bugs?


Dejo en el aire estas preguntas, pero no me extrañaría que esto empiece a ponerse en práctica en pocos años...

Y es que una de las herramientas que más me impresionó del arsenal de la Black Hat en Asia de este año es la herramienta SAIVS (Spider Artificial Intelligence Vulnerability Scanner) de los japoneses Isao Takaesu y Takeshi Terada, que usa Inteligencia Artificial para encontrar vulnerabilidades de forma automática. Es decir, su objetivo es encontrar vulnerabilidades en aplicaciones web tal y como la haría un pentester humano.

De momento desde enero de 2016 ya están mostrando los resultados de la versión beta, que ya puede recorrer (llamarle spidering o crawling) aplicaciones web sencillas, incluyendo páginas dinámicas como "login," "create account" y "information search", y detectar vulnerabilidades como XSS y SQLi.

Mediante machine learning es capaz de establecer e imitar comportamientos humanos en tests de intrusión: "SAIVS reconoce el tipo de la página. Si se llega a la página de inicio de sesión sin tener credenciales, crea un login de inicio de sesión en la página de creación de cuentas. Después, inicia sesión con el nombre del usuario creado y rastrea el resto de las páginas y las escanea en busca de vulnerabilidades. Cuando termina todas las páginas, emite un informe del escaneo". Para ello utiliza algoritmos de aprendizaje automático como Naive Bayes, Q-Learning y Perceptrón multi-capa con el fin de lograr una de las capacidades mencionadas anteriormente, por lo que ya se puede utilizar para escanear aplicaciones web sencillas.

Aquí tenéis un vídeo con la demostración: https://www.mbsd.jp/blog/img/20160113_4.mp4 

Podéis encontrar más detalle en el blog de Isao Takaesu así como el material de la BlackHat (paper y presentación) y de la Code Blue (presentación) de 2016.

¿Llegará el día en que no haya pentesters humanos?

Comentarios