ETHICAL

HACKING
CARLOS TOCASUCHE
ANA MILENA NIÑO
STEVEN IBAÑEZ
 INTRODUCCIÓN A LAS PRUEBAS DE
PENETRACIÓN
Una prueba de penetración permitirá generar una lista de las
vulnerabilidades de un Sistema, que permitirán planificar y priorizar
las mejoras en la forma de procesar y almacenar los datos, y de ese
modo reducir el riesgo de la organización.
Para algunas organizaciones puede ser opcional optar por tener una
prueba
de penetración. Sin embargo, para otras organizaciones se convierte
en
un requisito obligatorio, debido a una de las siguientes razones:
• Algunas industrias y tipos de datos son regulados y deben ser
manejados con seguridad (como el sector financiero, o el gobierno,
datos médicos, personal o de tarjeta de crédito). En este caso
el ente regulador va a insistir en ver los resultados de las pruebas
como parte de un proceso de certificación.
• Para las organizaciones que manejen una certificación de calidad,
como ISO 27001, se requerirá hacer periódicamente pruebas de
seguridad para mantener la certificación.
• Para proveedores de productos y servicios.
HACKING ÉTICO.
OBJETIVOS.
El objetivo fundamental del Ethical Hacking (hackeo ético) es determinar las
vulnerabilidades existentes en un sistema informático a través de pruebas de
intrusión, que verifican y evalúan la seguridad no sólo de los Sistemas de
Información, sino además de los canales de comunicación y servidores. Otra
denominación que se le da es White-Hat Hacking.
Al poder acceder con éxito al sistema es posible determinar las
vulnerabilidades del sistema, lo cual permite tomar las medidas preventivas
en contra de posibles ataques malintencionados. Por tanto, esta técnica
consiste en la simulación de posibles escenarios donde se reproducen
ataques de manera controlada, así como de las acciones propias de los
hackers. Al identificar el nivel de vulnerabilidad de la organización es posible
definir estrategias para mejorar el sistema de seguridad actual sobre la
información.
Características del Hacker ético
Dentro de las características predominantes de un hacker se encuentran el
desarrollo de la lógica aplicada más allá del uso de técnicas y herramientas,
ya que al requerir simular un ataque, no solo debe contar con sus
conocimientos, sino además tener capacidad de deducción y análisis para
determinar las acciones a realizar, determinar patrones de conducta,
interpretar código, codificar y usar cifrado de datos y tomar decisiones sobre
la marcha al ir descubriendo vulnerabilidades.
Etapas en un proceso de hacking
malicioso
Durante la etapa de Reconocimiento, se debe poseer
información sobre el objetivo y se utiliza un reconocimiento
pasivo con herramientas como Google hacking, ingeniería
Social y Monitorización de redes de datos.
En la etapa de Escaneo se rastrea la red con los datos
previamente obtenidos, y se detectan puntos de entrada, a
través del Reconocimiento activo con herramientas para
detectar hosts accesibles, puertos abiertos, ubicación de
routers y detalles de sistemas operativos y servicios.
En la tercera etapa se obtiene Acceso, es decir que se
realiza el ataque y se realizan las acciones objetivo, tales
como obtención de datos, manipulación de recursos,
denegación de servicios, etc.
En la cuarta etapa el hacker debe Mantener el acceso, es
decir, tratar de retener los privilegios obtenidos, en ocasiones
se debe proteger el sistema contra otros posibles hacker,
asegurando sus puertas traseras, rootKits y Troyanos.
En la quinta etapa se debe realizar un Borrado de huellas,
ya que se intenta no ser descubierto. Dependiendo de la
técnica utilizada y previendo un posible análisis forense.
Tipos de Ethical hacking
Dependiendo de los objetivos a alcanzar se pueden
clasificar las pruebas de penetración en las siguientes:
• Prueba con objetivo: se buscan las vulnerabilidades en
partes específicas de los sistemas que se consideran
críticos para la organización.
• Prueba sin objetivo: consisten en examinar la totalidad
de los componentes de los sistemas, lo cual conduce a
labores más exhaustivas y dispendiosas.
• Prueba a ciegas: en este tipo de pruebas sólo se
dispone de la información pública de la organización.
• Prueba interna: para simular ataques realizados por
personal de la organización se utiliza información privada,
otorgada por la organización acerca de sus sistemas
informáticos, también permite validar políticas de
seguridad.
• Prueba externa: se realizan para evaluar los
mecanismos perimetrales de seguridad informática, se
accede desde lugares externos a las instalaciones de la
organización.
Informe del proceso
Una vez finalizado el proceso se debe generar el “Ethical Hacking Report”,
este reporte debe presentar los detalles de los resultados de las actividades
y pruebas de hacking realizadas.
Se presentan en él un resumen ejecutivo para la fácil apreciación de
personal no técnico, las vulnerabilidades encontradas clasificadas de
acuerdo con su grado de criticidad, el detalle de las vulnerabilidades
detectadas, incluyendo configuraciones no adecuadas, fallos en las
actualizaciones y deficiencias en las políticas de seguridad establecidas.