El jueves pasado tuvimos la suerte de poder asistir a Security Innovation Day 2016 donde se presentó Path6, la innovación respecto a las aplicaciones empresariales de seguridad. Analiza las aplicaciones en busca de vulnerabilidades. Además, busca las Shadow Apps. ¿No sabes qué son? Sigue leyendo y te lo contamos todo.
¿Qué es Path6?
A grosso modo, Path6 es una plataforma que analiza las aplicaciones web empresariales en busca de problemas o errores. Todo esto con una tecnología propia de ElevenPaths, encargados de la plataforma de seguridad informática de Telefónica.
¿Cómo funciona?
Lo primero de todo es configurar los parámetros de búsqueda. Una vez hecho esto, la plataforma busca en todos los markets las aplicaciones que correspondan a los parámetros de búsqueda, lo que permite ver aplicaciones sobre las que tenemos consciencia de su existencia y aquellas firmadas bajo el nombre de nuestra organización o con su firma digital, o utilizando correos corporativos… en definitiva, aplicaciones vinculadas de alguna manera a nuestra empresa. No siempre acierta, pero va aprendiendo, si seleccionamos dos aplicaciones que tengan un mismo certificado y un mismo desarrollador, Path6 ya sabe que posiblemente las próximas aplicaciones con estos parámetros idénticos sean nuestras.
¿Qué son las Shadow Apps?
Podemos definir Shadow App como esa aplicación que tenemos publicada por parte de nuestra organización y nadie sabe de su existencia. En la conferencia nos comentaban que son más comunes de lo que pensamos. Aplicaciones de eventos, o aplicaciones que no han tenido éxito y se han mantenido en los market.
Analicemos una aplicación.
Una vez que tengamos la aplicación añadida a nuestra cuenta, hay que decirle a Path6 que haga el análisis. Hay 3 tipos de análisis: Estático, Dinámico y de Backend.
El estático funciona bastante rápido y analiza el código de la aplicación. El dinámico crea una máquina virtual y prueba la aplicación, por eso la demora de tiempo. Y el de Backend pone a prueba al servidor al que se conecta la aplicación.
Las siguiente imagen es la configuración de Google Sheets dentro de la plataforma (la foto está sacada de la proyección de la conferencia, pedimos disculpas por la calidad).
Una vez configurada, esperamos a que la plataforma analice la aplicación y nos vamos a ver sus vulnerabilidades.
Pero estas vulnerabilidades se pueden extender y ver realmente cuál es el problema de seguridad detectado por Path6.
Entre sus análisis busca direcciones IP, archivos con información sensible, bases de datos… Entre los casos más destacables expuestos en la conferencia tenemos:
- Usuario que tiene un archivo con la configuración de Amazon. Por lo tanto podríamos aprovecharnos de esta información y usarlo en su contra.
- Usuario que guarda su certificado dentro de la aplicación. El certificado se usa para firmar las aplicaciones y subirlas, por lo tanto puedes subir aplicaciones en su nombre.
- Empresa que dentro de su aplicación tiene direcciones IP internas y dominios de desarrollo.
Conclusión
Path6 es una gran herramienta para poder determinar problemas de seguridad respecto a aplicaciones. Así mismo, con el potencial de poder ver las aplicaciones olvidadas nos ayuda a poder ver fallos o irregularidades. Para más información, aquí tienen el panfleto de Path6.