¿Porqué Interesarse en la Ingeniería Inversa?

Con todas las diversas técnicas ya conocidas sobre Hacking Ético y Pruebas de Penetración, la pregunta es ¿Porqué se querría recurrir a algo supuestamente tan tedioso como la ingeniería reversa?. Pues se debería estar interesado en la ingeniería inversa, si se requiere expandir las habilidades y conocimientos sobre evaluación de vulnerabilidades, más allá de únicamente utilizar las herramientas y trucos estándar. No hace falta tener muchas capacidades para ejecutar un escaner de vulnerabilidades y reportar sus resultados. Desafortunadamente tales herramientas únicamente pueden reportar aquello lo cual conocen. No pueden reportar vulnerabilidades no descubiertas, y es aquí donde las habilidades y conocimientos sobre ingeniería inversa son relevantes.

Si se requiere ir más allá de las características estándar de las herramientas para encontrar vulnerabilidades, como Metasploit Framework, probablemente se requiera desarrollar al menos algunas habilidades rudimentarias sobre ingeniería inversa. Los investigadores de vulnerabilidades utilizan una variedad de técnicas sobre ingeniería inversa, para encontrar nuevas vulnerabilidades existentes en el software. Se puede estar complacido al esperar la comunidad en seguridad en general, descubra y publique vulnerabilidades para los componentes de software más comunes utilizados por el cliente, durante una prueba de penetración. Pero, ¿Quién hace el trabajo para descubrir problemas con una aplicación personalizada de nóminas creada por un tercero para el departamento de contabilidad?. El poseer algunos conocimientos y habilidades sobre ingeniería inversa puede proporcionar grandes réditos, si se requiere realizar un análisis más detallado de software popular, o si se encuentran aplicaciones personalizadas, las cuales algunas organizaciones insisten en ejecutar.

Fuentes:

https://en.wikipedia.org/wiki/Reverse_engineering
https://www.eff.org/issues/coders/reverse-engineering-faq

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1