ETHICAL HACKING

PRINCIPIOS BÁSICOS DE LA SEGURIDAD INFORMÁTICA

** Tomado de CORRUPTEDBYTE

Un test de penetración busca vulnerabilidades que afecten la confidencialidad, integridad y disponibilidad de un sistema ya que estos son los principios fundamentales sobre la seguridad informática ya que si se compromete uno de ellos el sistema deja de ser seguro independientemente del tipo de sistema, ya sea un sistema web, una red empresarial, una red de telecomunicaciones, etc.

Para que entendamos mejor esto pondremos un ejemplo que hoy en día es muy escuchado y es “Anonymous”, Anonymous es un grupo de hackers involucrados en todo tipo de temas sociales y/o políticos una de sus principales maneras de protesta en la red es el comprometer uno de estos principios básicos de la seguridad y es la disponibilidad del sistema, mediante sus ataques DDOS comprometiendo la seguridad del sistema y con esto entendemos que el comprometer la seguridad de un sistema no solo significa penetrar en el o robar información si no también afectar su disponibilidad, uno de los 3 pilares básicos de la seguridad informática.

QUE SE BUSCA CON UNA PRUEBA DE ETHICAL HACKING

Determinar sus vectores de ataque. (un vector de ataque es un punto donde se puedan dar ataques, no vulnerabilidades, solo donde se puedan llegar a dar ataques, como  por ejemplo un vector de ataque en una red sería un router o punto de acceso Wi-Fi por el cual se pueda tener acceso a toda la red interna de la empresa y hacer escalacion de privilegios).

Identificación de vulnerabilidades de bajo riesgo. (Estas son vulnerabilidades que no tienen un potencial de ataque mayor y solo son vulnerabilidades de información sensible como correos, nombres de empleados, etc.).

Identificación de vulnerabilidades de alto riesgo. (Como su nombre lo dice las vulnerabilidades de alto riesgos son aquellas las cuales puedan comprometer la integridad de la infraestructura tecnológica de la empresa y pueda perjudicar severamente a la empresa) Identificación de vulnerabilidades de alto riesgos derivadas de vulnerabilidades de bajo riesgo. (Como dijimos las vulnerabilidades de bajo riesgo podrían ser vulnerabilidades de información sensible que muchas veces se toma sin importancia pero esto podría acarrear problemas mayores si se hace un buen uso de esta información sensible) Evaluación del impacto en los negocios sobre un ataque exitoso. (Un Pentest también evalúa el impacto que podría tener un ataque exitoso en los diferentes vectores de ataque para así hacer una priorización a la hora de pasara a la etapa de parcheo y actualización).

METODOLOGÍAS DE LA PRUEBA DE ETHICAL

La seguridad informática ha tomado mucha importancia en estos últimos años y diferentes organizaciones han elaborado estándares y metodologías para realizar test de penetración de manera profesional siguiendo rigurosos estándares de calidad cubriendo los principios básicos de la seguridad sin dejar pasar algo por alto así como automatizarlos. Las 3 metodologías más destacadas en el ámbito de la seguridad informática son SP 800-42 de NIST, OSSTMM de ISECOM y OWASP este último con mayor importancia.

OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

NIST El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos.

OSSTMM  La organización ISECOM, el Instituto para la Seguridad y las Metodologías Abiertas, acaba de publicar la versión en castellano de la metodología abierta para la verificación de la seguridad, la OSSTMM. Por otra parte, también se ha publicado una sección especial de esta metodología especializada para el análisis de redes inalámbricas.

 TIPO DE PRUEBAS

METODOLOGÍA CAJA NEGRA

En las diferentes áreas de la ciencia y tecnología encontraran este tipo de pruebas o metodologías, las pruebas de caja negra son aquellas que se hacen sin conocer absolutamente nada de información del sistema con el que se está trabajando, simulando así un ataque o intento de penetración real sobre el sistema desde el exterior. Este tipo de pruebas son las más importantes ya que con ellas se puede evaluar el impacto que tendría un ataque a nuestro sistema. Técnicas de caja negra: ·         Vulnerabilidades de tipo 'deface'; ·         Vulnerabilidades de tipo 'cross-site scripting'; ·         Vulnerabilidades de tipo 'spoofing'; ·         Vulnerabilidades de tipo inyección de SQL; ·         Vulnerabilidades de tipo inyección de código; ·         Vulnerabilidades derivadas de la validación de entrada / salida; ·         Vulnerabilidades de tipo desbordamiento de memoria; ·         Vulnerabilidades basadas en secuestro de sesiones; ·         Vulnerabilidades basadas en 'sniffing' de la red; ·         Vulnerabilidades basadas en escaladas de privilegio; ·         Vulnerabilidades en la gestión de contraseñas. ·         Autentificación incompleta y gestión de sesiones; ·         Referencias directas a objetos inseguros; ·         Configuración incorrecta de la seguridad de aplicaciones; ·         Almacenamiento criptográfico inseguro; ·         Problemas de acceso a URLs restringidas; ·         Protección del nivel de transporte insuficiente; ·         Redirecciones no validadas.

METODOLOGÍA CAJA BLANCA

Esta metodología al contrario de la de caja negra se tiene un conocimiento total del sistema con el que se está trabajando y se centra más en los procesos del sistema así como sus códigos fuentes y configuraciones de software y hardware en búsqueda de errores en códigos fuentes de las aplicaciones o malas configuraciones en software y hardware. ·         Ataques con conocimientos de la arquitectura del sistema; ·         Ataques con acceso a los detalles de las aplicaciones implantadas en la organización; ·         Vulnerabilidades de abuso contra interfaces de programación de aplicaciones; ·         Vulnerabilidades de calidad de código; ·         Vulnerabilidades derivadas de la configuración del sistema; ·         Vulnerabilidades de los protocolos; ·         Vulnerabilidades criptográficas; ·         Vulnerabilidades en la gestión de contraseñas.

METODOLOGÍA CAJA GRIS

La metodología de caja gris se hace con la metodología usada en las pruebas de caja negra pero con información del sistema para simular una fuga de información y así el auditor del sistema pueda simular ataques con dicha información. ·         Aplicación de pruebas de penetración (con la revisión de código parcial). ·         Test de la infraestructura y la red de penetración (con revisión de la red y la configuración del servidor.) ·         Examen de alto nivel de diseño y construcción.