16/10/22, 23:35 PruebaHackMe | Fundamentos de Pentesting


4381


Fundamentos de Pentesting Mostrar vista dividida

 Detalles de la nube
Premios
Ayuda


Aprenda la ética y las metodologías importantes detrás de cada pentest.

Cuadro Marcador Conversar escritos Más

Dificultad: Información

Active Machine Information

Loading... Loading... Loading... Loading...

100%

Tarea 1  ¿Qué es la prueba de penetración? 

Tarea 2  Ética de las pruebas de penetración 

La batalla de la legalidad y la ética en la ciberseguridad, por no hablar de las pruebas de penetración, siempre es controvertida. Etiquetas como "piratería" y "hacker" a menudo tienen connotaciones
negativas, especialmente en la cultura pop, gracias a algunas manzanas podridas. La idea de obtener acceso legal a un sistema informático es un concepto difícil de comprender; después de todo,
¿qué es exactamente lo que lo hace legal?

Recuerde que una prueba de penetración es una auditoría autorizada de la seguridad y las defensas de un sistema informático según lo acordado por los propietarios de los sistemas. La legalidad de la
penetración es bastante clara en este sentido; cualquier cosa que quede fuera de este acuerdo se considera no autorizada.

Antes de que comience una prueba de penetración, se produce una discusión formal entre el probador de penetración y el propietario del sistema. Se acuerdan diversas herramientas, técnicas y sistemas a
probar. Esta discusión forma el alcance del acuerdo de prueba de penetración y determinará el curso que toma la prueba de penetración.

Las empresas que brindan servicios de pruebas de penetración están sujetas a marcos legales y acreditación de la industria. Por ejemplo, el Centro Nacional de Seguridad Cibernética (NCSC) tiene
el esquema de acreditación CHECK en el Reino Unido. Esta verificación significa que solo "[CHECK] las empresas aprobadas pueden realizar pruebas de penetración autorizadas de los sistemas y
redes del sector público y CNI". (NCSC).

La ética es el debate moral entre el bien y el mal; donde una acción puede ser legal, puede ir en contra del sistema de creencias de un individuo sobre el bien y el mal.

Los evaluadores de penetración a menudo se enfrentarán a decisiones potencialmente moralmente cuestionables durante una prueba de penetración. Por ejemplo, están obteniendo acceso a una base de datos
y se les presentan datos potencialmente confidenciales. O quizás estén realizando un ataque de phishing contra un empleado para probar la seguridad humana de una organización. Si esa acción ha sido
acordada durante las etapas iniciales, es legal, aunque éticamente cuestionable.

Los piratas informáticos se clasifican en tres sombreros, donde su ética y las motivaciones detrás de sus acciones determinan en qué categoría de sombrero se colocan. Vamos a cubrir estos tres en la siguiente
tabla:

Categoría de Descripción Ejemplo

sombrero

Sombrero Estos piratas informáticos son considerados "buenas personas". Permanecen dentro de la ley y usan Por ejemplo, un probador de penetración que realiza un compromiso autorizado
blanco sus habilidades para beneficiar a otros. en una empresa.

Sombrero gris Estas personas usan sus habilidades para beneficiar a otros a menudo; sin embargo, no Por ejemplo, alguien que elimina un sitio fraudulento.
respetan/siguen la ley o las normas éticas en todo momento.

Sombrero Estas personas son delincuentes y, a menudo, buscan dañar a las organizaciones u obtener algún tipo Por ejemplo, los autores de ransomware infectan dispositivos con código
negro de beneficio financiero a costa de otros.  malicioso y retienen datos para pedir rescate.

Reglas de compromiso ( ROE )

El ROE es un documento que se crea en las etapas iniciales de un compromiso de prueba de penetración. Este documento consta de tres secciones principales (explicadas en la tabla a
continuación), que son las responsables últimas de decidir cómo se lleva a cabo el compromiso. El instituto SANS tiene un gran ejemplo de este documento que puede ver en línea aquí .

Sección Descripción

Permiso Esta sección del documento da permiso explícito para que se lleve a cabo el compromiso. Este permiso es fundamental para proteger jurídicamente a las personas y organizaciones por las
actividades que realizan.

https://tryhackme.com/room/pentestingfundamentals 1/2
16/10/22, 23:35 PruebaHackMe | Fundamentos de Pentesting

Alcance de Esta sección del documento anotará objetivos específicos a los que se debe aplicar el compromiso. Por ejemplo, la prueba de penetración puede aplicarse solo a ciertos servidores o
prueba aplicaciones, pero no a toda la red.

Normas La sección de reglas definirá exactamente las técnicas que están permitidas durante el enfrentamiento. Por ejemplo, las reglas pueden establecer específicamente que técnicas como los
ataques de phishing están prohibidas, pero los ataques MITM (Man-in-the-Middle) están bien.

Responda las siguientes preguntas

Se le otorga permiso para realizar una auditoría de seguridad en una organización; ¿Qué tipo de hacker serías?

White Hat Respuesta correcta Insinuación

Atacas a una organización y robas sus datos, ¿qué tipo de hacker serías?

Black Hat Respuesta correcta

¿Qué documento define cómo debe llevarse a cabo un compromiso de prueba de penetración?

Rules of Engagement Respuesta correcta

Tarea 3  Metodologías de prueba de penetración 

Tarea 4  Prueba de penetración de caja negra, caja blanca, caja gris 

Tarea 5  Práctico: Prueba de penetración ACME

 

Creado por tryhackme y cmnatic

¡ Esta es una sala gratuita , lo que significa que cualquiera puede implementar máquinas virtuales en la sala (sin estar suscrito)! 146587 usuarios están aquí y esta sala tiene 402 días.

https://tryhackme.com/room/pentestingfundamentals 2/2