Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1) Definiendo Términos.
3) Limitaciones.
1) Definiendo Términos:
Vulnerability (vulnerabilidad): una falla que alguien podría explotar para causar
daño.
Risk (riesgo): código o técnica que una amenaza utiliza para tomar ventaja sobre
una vulnerabilidad.
El trabajo de un “pen tester” es modelar las acciones del mundo real que nos
amenazan para encontrar vulnerabilidades, luego explotar estas vulnerabilidades
en un ambiente controlado, y así determinar los riesgos del negocio de a una
organización. De esta forma se podrán recomendar las defensas apropiadas que
pueden ser integradas a la operación de la organización afectada.
Muchas personas utilizan los siguientes términos de forma indistinta sin reparar en
su significado:
Esto nos lleva a muchas confusiones, por lo que vamos a reconocer el significado de
cada uno.
Hacking (def. tradicional): manipular tecnología para hacer algo para lo que no
está diseñado.
Refiere al uso de herramientas y/o técnicas, similares a las utilizadas por los
criminales, para encontrar una vulnerabilidad (“para prevenir un crimen, debes
prensar como un criminal”).
De esta forma, bajo circunstancias controladas, se deben explotar estas fallas en una
forma profesional, y segura, siguiendo los objetivos y reglas acordados con el dueño
de la organización, para determinar los riesgos y potencial impacto. Todo esto con el
objetivo de ayudar a la organización a mejorar sus prácticas de seguridad. Es por
esto que “Penetration Testing” es una sub-sección del “ethical hacking”.
1.5) Motivación
Detectar fallas en con un “pen test” comúnmente ofrece más pruebas respecto
a como estamos expuestos al mundo real, y las acciones a tomar en seguridad;
en comparación a otros métodos de descubrimiento de vulnerabilidades.
Ataques de Encriptación.
Tanto los ataques maliciosos como los éticos coinciden en varias fases en sus
ataques:
Reconocimiento.
Escaneo.
Explotación.
Limitaciones de alcance.
Limitaciones de tiempo.
Limitaciones en los métodos utilizados por los pen testers (DoS es una limitación
común).
Auditorías Detalladas.
Test de penetración y ethical hacking chequea las cosas tal como están:- Qué es lo
que ve actualmente un atacante: Ayuda a determinar el nivel de riesgo mejor que
una revisión de arquitectura o configuración.
Ayuda a encontrar errores que otros métodos no pueden encontrar: Problemas
desconocidos que no pueden ser detectados durante una revisión de configuración.
Va más allá de una auditoría.
Pen testing y ethical hacking tienen un impacto diferente en el consumo de tiempo
del personal del ambiente a investigar: Se realizan entrevistas más profundas, pero
se obtienen mejores resultados.
BENEFICIOS DE UN ETHICAL HACKING