Mostrando entradas con la etiqueta black track 5. Mostrar todas las entradas
Mostrando entradas con la etiqueta black track 5. Mostrar todas las entradas

sábado, 10 de enero de 2015

Para proteger nuestros sistemas (I): ¿Qué es un pentesting?

Pen Test o “Test de penetracion(Penetration Tests o Pentesting)son los términos más comunes para denominar el conjunto de técnicas utilizadas para realizar una auditoría de seguridad y análisis forense de datos para evaluar el grado de seguridad de redes, sistemas de computación y/o información, tanto como las aplicaciones que participan en el sistema, esto incluye el sitio web.


Figura 1. Lara Croft, protagonista del videojuego 'Tomb Raider'.
  
Cada día, aumenta la preocupación por la Ciberseguridad y los Ciberataques, indistintamente de la responsabilidad que ocupes en la empresa y/o institución, es seguro que llevas tiempo preocupado por mejorar los sistemas de protección, o te has propuesto hacerlo. 

Es ususal que la Pyme encargue el proyecto de diseño de su web, porque desea comercializar sus productos, o repercutir en positivo en la Reputación Online de su imagen de marca; la implementación sistemas de seguridad dota de cierta confianza a los responsables, obviando realizar las recomendadas Auditorías de Seguridad Informática

 Figura 2.  'Kali Linux' de los creadores de 'Back Track 5'  (software libre para realizar Pentesting). 

Realizar Pentesting, no es una operación fácil y requiere estar dotados de los suficientes conocimientos y experiencia los sistemas, aplicaciones, comportamientos de los sistemas operativos, etcétera... que nos proponemos auditar.  

Estas técnicas, se denominan comumente: Black, White o Ethical Hacker y tienen como objetivos proponer a la empresa o institución, las vulnerabilidades del sistema analizado. Se usan para acceder al propio sistema, y en esto se diferencian del “análisis de vulnerabilidades” que en ningún momento comtempla la penetración en la red interna.
 
Es habitual entregar el informe de auditoría de seguridad indicando que es posible acceder a todo el sistema o gran parte; además, se suelen detectar vulnerabilidades de nivel inferior (fallos de configuración), que terminan dejando la puerta de atrás abierta a los posibles atacantes (intesados en la información o en destrozar parte de ella). 


Técnicas de este tipo, también son usadas por grupos como Anonymous. Hace unas horas han declarado la guerra a los terroristas con motivo del atentado a Charlie Hebdo. Estoy completamente seguro de que van a jugar un papel protagonista, una vez más, en la lucha contra los delicuentes y asesinos.
 
 Figura 3.  Anonymous, uno de los grupos que promueven el 'Hacktivismo Ético'.


Técnicamente, si la empresa realiza con cierta frecuencia auditorías de seguridad, se puden encontrar vulnerabilidades provocadas por errores simples. Comparto uno de los casos de ataque que ha sufrido  la web de la Presidencia Europea de España


Los sistemas de información, tienen ciclo vital. Durane ese ciclo han debido soportar entre otros, las auditorías de seguridad; no obstante, no debería ser un contrato por obra o prestación de servicio puntualmente, sino un servicio de prevención de ataques 24x7. De la misma forma, el sistema debería soportar Pentesting desde la fase de diseño, y su posterior implantación. De lo contrario, si has contratado un servicio anual, o puntual, la única conclusión es que te van a demostrar que es posible penetrar en el sistema.

 Figura 4.  Esquema de las Fases del Pentesting.

El Pentesting no es una acción concreta, sino múltiples procesos(etapas) dividas por entornos, áreas y trabajos concretos. En esto influye la evaluación del grado de los riesgos que comportan las vulnerabilidades del sistema. Quiere esto decir, que siempre se comienza por la parte que más riesgo (aperturas) comporta para el resto del sistema.


Tras acuerdo con el cliente para realizar los diferentes procesos de análisis (esque suceptible de modificación y/o adaptación), se realizan las siguientes actividades:

  • Fase de reconocimiento: Es seguro, de las etapas que más tiempo requiere. En ella, se definen objetivos y se recopila toda la información posible para posteriormente utilzizar durante todo el Pentesting. La profundidad del análisis, viene dada por los objetivos se hayan fijado previamente, no obstante, los datos tipos requeridos en esta fases son:nombres y direcciones de correo de los empleados de la organización, topología de la red, direcciones IP, metadatos en documentos, información exif, etcétera.
  •  
  • Fase de escaneo: Con la información recopilada, se analizan los posibles vectores de ataque. Es fase desiva para evaluar (escanear) puertos y servicios del sistema. Una vez hecho esto, se está en disposición de poder escanear las vulnerabilidades y permitirnos definir los vectores de ataque.
  •  
  • Fase de enumeración: En la que se trata de obtener los datos referentes a los usuarios, nombres de equipos, servicios de red, etcétera. Para ello, se realzian conexiones activas y se ejecuntan consultas de forma persistente.
  •  
  • Fase de acceso: En esta etapa el objerivo es haber econtrado las puertas abiertas a raíz de toda la información sobre el sistema obtenida en las fases anteriores.  
  •  
  • Fase de mantenimiento de acceso: Tras conseguir el acceso, se proponen las soluciones y se tratan de implantar de forma permanete para no dejar posibles huecos.

 Figura 5.  Kit de herraminetas básicas 'Network Tools'.

 Con todo este trabajo, se genera la documentación correspondiente al pentesting. Servirá como guía (hitos) para tomar las decisiones necesarias para preservar la seguridad.


 En próximos post, tratareos con más detalle estas técnicas y las herramientas que podemos utilizar para ejecutar los trabajos.

          -------------------- TO BE CONTINUED --------------------