Dados los problemas de seguridad existentes en muchos servicios disponibles a través de Internet, nunca está de más un poco de ayuda. Los desarrolladores de la empresa Stampery han creado una herramienta bautizada como Mongoaudit que permite realizar auditorías de seguridad sobre las bases de datos MongoDB. Adicionalmente, además detectar errores ofrece recomendaciones para poner fin al problema.
La aplicación vio la luz hace dos semanas. De acuerdo a la información vertida por los desarrolladores, es compatible con Windows 10, Linux y macOS. Aunque no lo hemos dicho aún, se trata de una herramienta que carece de interfaz gráfica. Su funcionamiento se sustenta en la línea de comandos de los sistemas operativos citados con anterioridad.
La forma más fácil de instalar la herramienta es instalar Python y PIP en el equipo y escribir lo siguiente:
pip install mongoaudit
Sin embargo, para todos aquellos que no lo tenga o no quieren instalarlo, lo pueden hacer escribiendo lo siguiente:
curl -s https://mongoaud.it/install | bash
Si la instalación tiene lugar sin ningún tipo de problemas y todas las dependencias de otros paquetes están controladas, podremos ejecutar la aplicación una vez finalizado el proceso escribiendo lo siguiente en la consola:
mongoaudit
A partir de aquí, ya estamos dentro de la aplicación y podremos disfrutar de las funciones existentes.
Detalles más relevantes de Mongoaudit
De entrada, hay que decir que existen dos tipos de análisis: básico y avanzado.
Para ejecutar el básico solo se necesita la dirección de la base de datos y el puerto en el que se encuentra a la escucha. A partir de aquí el programa realizará una serie de comprobaciones a nivel de configuración que permitirán detectar problemas existentes y así poner fin. Además de esto, comprobará si existen algunas vulnerabilidades conocidas. El listado actual es el siguiente:
- Security bug CVE-2015-7882
- Security bug CVE-2015-2705
- Security bug CVE-2014-8964
- Security bug CVE-2015-1609
- Security bug CVE-2014-3971
- Security bug CVE-2014-2917
- Security bug CVE-2013-4650
- Security bug CVE-2013-3969
- Security bug CVE-2012-6619
- Security bug CVE-2013-1892
- Security bug CVE-2013-2132
En el caso de escoger el análisis avanzado de la base de datos, será necesario ofrecer los parámetros de conexión indicados en el tipo de análisis anterior junto con las credenciales de acceso de la base de datos que se quiera probar. Además del listado de comprobaciones mencionado con anterioridad en lo que respecta a errores, hay que añadir dos opciones más:
- Usuarios con permisos en una base de datos.
- Los roles de los usuarios solo permiten operaciones CRUD.
A medida que se completan los análisis, el usuario podrá verificar cuáles son los mensajes de error vertidos por Mongoaudit. Al final del proceso se mostrará un recuento con los puntos evaluados de forma positiva y aquellos que se deben mejorar. El análisis no durará más de un minuto, aunque hay que decir que depende de la capacidad del equipo que posee la base de datos y el nivel de carga de carga en ese momento.
Lo verdaderamente útil de esta herramienta, es que los aspectos a mejorar son explicados de forma detallada, invitando al usuario a aplicar unas determinadas medidas para resolver el problema detectado.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
