Ethical Hacking - UNAM-CERT

Anuncio
Ethical Hacking
• ¿Qué es el Ethical Hacking?
• ¿Quiénes son los Ethical Hackers?
• ¿Por qué hacer un Ethical Hacking?
• Tipos de Ethical Hacking
• ¿Cuáles son los beneficios de un Ethical hacking ?
• Estándares
• Referencias
• Revisión histórica
Ethical Hacking
Por Alejandro Reyes Plata
¿Qué es el Ethical Hacking?
Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces de
comprometer los sistemas informáticos y robar información valiosa, o bien borrar una gran parte de ella. Esta
situación hace imprescindible conocer si estos sistemas y redes de datos están protegidos de cualquier tipo de
intrusiones.
Por tanto el objetivo fundamental del Ethical Hacking (hackeo ético) es explotar las vulnerabilidades
existentes en el sistema de "interés" valiéndose de test de intrusión, que verifican y evalúan la seguridad física
y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores,
etc. Con la intención de ganar acceso y "demostrar" que un sistema es vulnerable, esta información es de gran
ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques
malintencionados.
Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulación de posibles escenarios donde se
reproducen ataques de manera controlada, así como actividades propias de los delincuentes cibernéticos, esta
forma de actuar tiene su justificación en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
Para garantizar la seguridad informática se requiere de un conjunto de sistemas, métodos y herramientas
destinados a proteger la información, es aquí donde entran los servicios del Ethical Hacking , la cual es una
disciplina de la seguridad informática que hecha mano de una gran variedad de métodos para realizar sus
pruebas, estos métodos incluyen tácticas de ingeniería social, uso de herramientas de hacking , uso de
Metasploits que explotan vulnerabilidades conocidas, en fin son válidas todas las tácticas que conlleven a
vulnerar la seguridad y entrar a las áreas críticas de las organizaciones.
¿Quiénes son los Ethical Hackers?
Los hackers éticos también conocidos como Pen-Tester, como su nombre lo dice, realizan "Pruebas de
Penetración". Un hacker ético es un experto en computadoras y redes de datos, su función es atacar los
sistemas de seguridad en nombre de sus dueños, con la intención de buscar y encontrar vulnerabilidades que
un hacker malicioso podría explotar. Para probar los sistemas de seguridad, los Ethical Hackers (hackers
éticos) utilizan los mismos métodos que sus homólogos, pero se limitan únicamente a reportarlos en lugar de
sacar ventaja de ellos.
El Ethical Hacking también es conocido como penetration testing (pruebas de penetración) o i ntrusión testing
(pruebas de intrusión). Los individuos que realizan estas actividades a veces son denominados "hackers de
sombrero blanco", este término proviene de las antiguas películas del Oeste, en donde el "bueno" siempre
llevaba un sombrero blanco y el "malo" un sombrero negro.
¿Por qué hacer un Ethical Hacking?
A través del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los sistemas de
información de una organización, esto se logra determinando el grado de acceso que tendría un atacante con
intenciones maliciosas a los sistemas informáticos con información crítica.
Las pruebas de penetración son un paso previo a los análisis de fallas de seguridad o riesgos para una
organización. La diferencia con un análisis de vulnerabilidades, es que las pruebas de penetración se enfocan
en comprobar y clasificar vulnerabilidades y no tanto en el impacto que éstas tengan sobre la organización.
Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos no
autorizados y ajenos a la información como: crackers, hackers, ladrones, ex-empleados, empleados actuales
disgustados, competidores, etc. Las pruebas de penetración, están totalmente relacionadas con el tipo de
información que cada organización maneja, por tanto según la información que se desee proteger, se
determina la estructura y las herramientas de seguridad pero nunca a la inversa.
Estas pruebas de penetración permiten:
• Evaluar vulnerabilidades a través de la identificación de debilidades provocadas por una mala
configuración de las aplicaciones.
• Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de
que la amenaza se convierta en realidad.
• Proveer recomendaciones en base a las prioridades de la organización para mitigar y eliminar las
vulnerabilidades y así reducir el riesgo de ocurrencia de un evento desfavorable.
La realización de las pruebas de penetración está basada en las siguientes fases.
1. 1. Recopilación de información
2. 2. Descripción de la red
3. 3. Exploración de los sistemas
4. 4. Extracción de información
5. 5. Acceso no autorizado a información sensible o crítica
6. 6. Auditoría de las aplicaciones web
7. 7. Elaboración de informes
8. 8. Informe final
Tipos de Ethical Hacking
Las pruebas de penetración se enfocan principalmente en las siguientes perspectivas:
• Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los
sistemas informáticos críticos de la organización.
• Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los
sistemas informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser las más
laboriosas.
• Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible
sobre la organización.
• Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por la
organización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques
realizados por individuos internos de la organización que tienen determinado acceso a información
privilegiada.
• Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones de la
organización. Su objetivo es evaluar los mecanismos perimetrales de seguridad informática de la
organización.
• Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el
objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.
A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el
desarrollo de las pruebas es de conocimiento del personal informático o no.
Red Teaming : Es una prueba encubierta, es decir que sólo un grupo selecto de ejecutivos sabe de ella. En esta
modalidad son válidas las técnicas de "Ingeniería Social" para obtener información que permita realizar
ataque. Ésta obviamente es más real y evita se realicen cambios de última hora que hagan pensar que hay un
mayor nivel de seguridad en la organización.
Blue Teaming : El personal de informática conoce sobre las pruebas. Esta modalidad se aplica cuando las
medidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado como
incidente, repercuten en la continuidad de las operaciones críticas de la organización, por ello es conveniente
alertar al personal para evitar situaciones de pánico y fallas en la continuidad del negocio.
¿Cuáles son los beneficios de un Ethical hacking ?
Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un documento que contiene a
grandes rasgos una lista detallada de las vulnerabilidades encontradas y verificables. También se provee una
lista de recomendaciones para que sean aplicadas por los responsables de seguridad en la organización. Este
documento se compone de un informe técnico y uno ejecutivo para que los empleados técnicos y
administrativos puedan entender y apreciar los riesgos potenciales sobre el negocio.
Los beneficios que las organizaciones adquieren con la realización de un Ethical Hacking son muchos, de
manera muy general los más importantes son:
• Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información, lo cual
es de gran ayuda al momento de aplicar medidas correctivas.
• Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas
(equipos de cómputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridad
en las organizaciones.
• Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.
• Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organización.
Los beneficios no sólo se ven reflejados en la parte técnica y operacional de la organización, sino en
organizaciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficios
reflejan una buena imagen y reputación corporativa que en ocasiones es más valiosa que las mismas pérdidas
económicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en
consecuencia invierten mucho dinero en mecanismos de seguridad para minimizar las perdidas financieras.
Es muy importante tener en cuenta los aspectos legales en la realización de un Ethical hacking, los cuales
deben tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo
contratan.
Estos aspectos abarcan la confidencialidad, es decir que a la información que los "Pen tester" encuentren no se
le dé un mal manejo o uso más allá de los fines previstos por las pruebas. Se deben indicar claramente en el
contrato los objetivos específicos de las pruebas de penetración para evitar futuros malos entendidos.
En lo que respeta a la organización que contrata el servicio, ésta debe garantizar que la información que se
provee al "Pen Tester" es fidedigna para que los resultados sean congruentes y certeros. Sin embargo dada la
naturaleza de las pruebas de penetración es limitada la posibilidad de probar toda la gama de técnicas y
mecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informático y en ocasiones
obtener "falsos positivos", es decir resultados que indiquen una vulnerabilidad que realmente no es explotable.
Estándares
Existen una serie de buenas prácticas o normas generales en relación con la seguridad de la información y de
forma particular para pruebas de penetración y almacenamiento de ciertos tipos de datos. Cualquier individuo
que se dedique a realizar estas pruebas de penetración, debe tener al menos un conocimiento práctico de estas
normas las cuales se pueden consultar más a detalle en: h ttp://www.penetration-testing.com/ .
Referencias:
http://www.penetration-testing.com
http://www.penetration-testing.com/
Ethical hacking: Test de intrusión. Principales metodologías
http://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethical-hacking-test-intru
¿Cómo se realiza un Pentest?
http://www.dragonjar.org/como-realizar-un-pentest.xhtml
Revisión histórica
• Liberación original: 22-Oct-2010
• Última revisión: 25 de octubre de 2010
La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y
revisión de este documento a:
• Alejandro Reyes Plata
• Galvy Cruz Valencia
• Andrés Leonardo Hernández Bermúdez
Para mayor información acerca de éste documento de seguridad contactar a:
UNAM-CERT Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información
Dirección General de Cómputo y de Tecnologías de Información y Comunicación
Universidad Naciónal Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Descargar