Ethical Hacking

¿Qué es el Ethical Hacking?• ¿Quiénes son los Ethical Hackers?• ¿Por qué hacer un Ethical Hacking?• Tipos de Ethical Hacking• ¿Cuáles son los beneficios de un Ethical hacking ?• Estándares• Referencias• Revisión histórica•

Ethical Hacking

Por Alejandro Reyes Plata

¿Qué es el Ethical Hacking?

Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces decomprometer los sistemas informáticos y robar información valiosa, o bien borrar una gran parte de ella. Estasituación hace imprescindible conocer si estos sistemas y redes de datos están protegidos de cualquier tipo deintrusiones.

Por tanto el objetivo fundamental del Ethical Hacking (hackeo ético) es explotar las vulnerabilidadesexistentes en el sistema de "interés" valiéndose de test de intrusión, que verifican y evalúan la seguridad físicay lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores,etc. Con la intención de ganar acceso y "demostrar" que un sistema es vulnerable, esta información es de granayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataquesmalintencionados.Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulación de posibles escenarios donde sereproducen ataques de manera controlada, así como actividades propias de los delincuentes cibernéticos, estaforma de actuar tiene su justificación en la idea de que:

"Para atrapar a un intruso, primero debes pensar como intruso"

Para garantizar la seguridad informática se requiere de un conjunto de sistemas, métodos y herramientasdestinados a proteger la información, es aquí donde entran los servicios del Ethical Hacking , la cual es unadisciplina de la seguridad informática que hecha mano de una gran variedad de métodos para realizar suspruebas, estos métodos incluyen tácticas de ingeniería social, uso de herramientas de hacking , uso deMetasploits que explotan vulnerabilidades conocidas, en fin son válidas todas las tácticas que conlleven avulnerar la seguridad y entrar a las áreas críticas de las organizaciones.

¿Quiénes son los Ethical Hackers?

Los hackers éticos también conocidos como Pen-Tester, como su nombre lo dice, realizan "Pruebas dePenetración". Un hacker ético es un experto en computadoras y redes de datos, su función es atacar lossistemas de seguridad en nombre de sus dueños, con la intención de buscar y encontrar vulnerabilidades queun hacker malicioso podría explotar. Para probar los sistemas de seguridad, los Ethical Hackers (hackerséticos) utilizan los mismos métodos que sus homólogos, pero se limitan únicamente a reportarlos en lugar desacar ventaja de ellos.

El Ethical Hacking también es conocido como penetration testing (pruebas de penetración) o i ntrusión testing(pruebas de intrusión). Los individuos que realizan estas actividades a veces son denominados "hackers desombrero blanco", este término proviene de las antiguas películas del Oeste, en donde el "bueno" siemprellevaba un sombrero blanco y el "malo" un sombrero negro.

¿Por qué hacer un Ethical Hacking?

A través del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los sistemas deinformación de una organización, esto se logra determinando el grado de acceso que tendría un atacante conintenciones maliciosas a los sistemas informáticos con información crítica.

Las pruebas de penetración son un paso previo a los análisis de fallas de seguridad o riesgos para una

organización. La diferencia con un análisis de vulnerabilidades, es que las pruebas de penetración se enfocanen comprobar y clasificar vulnerabilidades y no tanto en el impacto que éstas tengan sobre la organización.

Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos noautorizados y ajenos a la información como: crackers, hackers, ladrones, ex-empleados, empleados actualesdisgustados, competidores, etc. Las pruebas de penetración, están totalmente relacionadas con el tipo deinformación que cada organización maneja, por tanto según la información que se desee proteger, sedetermina la estructura y las herramientas de seguridad pero nunca a la inversa.

Estas pruebas de penetración permiten:

Evaluar vulnerabilidades a través de la identificación de debilidades provocadas por una malaconfiguración de las aplicaciones.

•

Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad deque la amenaza se convierta en realidad.

•

Proveer recomendaciones en base a las prioridades de la organización para mitigar y eliminar lasvulnerabilidades y así reducir el riesgo de ocurrencia de un evento desfavorable.

•

La realización de las pruebas de penetración está basada en las siguientes fases.

1. Recopilación de información1. 2. Descripción de la red2. 3. Exploración de los sistemas3. 4. Extracción de información4. 5. Acceso no autorizado a información sensible o crítica5. 6. Auditoría de las aplicaciones web6. 7. Elaboración de informes7. 8. Informe final8.

Tipos de Ethical Hacking

Las pruebas de penetración se enfocan principalmente en las siguientes perspectivas:

Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de lossistemas informáticos críticos de la organización.

•

Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de lossistemas informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser las máslaboriosas.

•

Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponiblesobre la organización.

•

Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por laorganización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataquesrealizados por individuos internos de la organización que tienen determinado acceso a informaciónprivilegiada.

•

Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones de laorganización. Su objetivo es evaluar los mecanismos perimetrales de seguridad informática de laorganización.

•

Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con elobjetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.

•

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si eldesarrollo de las pruebas es de conocimiento del personal informático o no.

Red Teaming : Es una prueba encubierta, es decir que sólo un grupo selecto de ejecutivos sabe de ella. En estamodalidad son válidas las técnicas de "Ingeniería Social" para obtener información que permita realizarataque. Ésta obviamente es más real y evita se realicen cambios de última hora que hagan pensar que hay unmayor nivel de seguridad en la organización.

Blue Teaming : El personal de informática conoce sobre las pruebas. Esta modalidad se aplica cuando lasmedidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado comoincidente, repercuten en la continuidad de las operaciones críticas de la organización, por ello es convenientealertar al personal para evitar situaciones de pánico y fallas en la continuidad del negocio.

¿Cuáles son los beneficios de un Ethical hacking ?

Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un documento que contiene agrandes rasgos una lista detallada de las vulnerabilidades encontradas y verificables. También se provee unalista de recomendaciones para que sean aplicadas por los responsables de seguridad en la organización. Estedocumento se compone de un informe técnico y uno ejecutivo para que los empleados técnicos yadministrativos puedan entender y apreciar los riesgos potenciales sobre el negocio.

Los beneficios que las organizaciones adquieren con la realización de un Ethical Hacking son muchos, demanera muy general los más importantes son:

Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información, lo cuales de gran ayuda al momento de aplicar medidas correctivas.

•

Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas(equipos de cómputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridaden las organizaciones.

•

Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.•

Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organización.•

Los beneficios no sólo se ven reflejados en la parte técnica y operacional de la organización, sino enorganizaciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficiosreflejan una buena imagen y reputación corporativa que en ocasiones es más valiosa que las mismas pérdidaseconómicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en

consecuencia invierten mucho dinero en mecanismos de seguridad para minimizar las perdidas financieras.

Es muy importante tener en cuenta los aspectos legales en la realización de un Ethical hacking, los cualesdeben tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes locontratan.

Estos aspectos abarcan la confidencialidad, es decir que a la información que los "Pen tester" encuentren no sele dé un mal manejo o uso más allá de los fines previstos por las pruebas. Se deben indicar claramente en elcontrato los objetivos específicos de las pruebas de penetración para evitar futuros malos entendidos.

En lo que respeta a la organización que contrata el servicio, ésta debe garantizar que la información que seprovee al "Pen Tester" es fidedigna para que los resultados sean congruentes y certeros. Sin embargo dada lanaturaleza de las pruebas de penetración es limitada la posibilidad de probar toda la gama de técnicas ymecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informático y en ocasionesobtener "falsos positivos", es decir resultados que indiquen una vulnerabilidad que realmente no es explotable.

Estándares

Existen una serie de buenas prácticas o normas generales en relación con la seguridad de la información y deforma particular para pruebas de penetración y almacenamiento de ciertos tipos de datos. Cualquier individuoque se dedique a realizar estas pruebas de penetración, debe tener al menos un conocimiento práctico de estasnormas las cuales se pueden consultar más a detalle en: h ttp://www.penetration-testing.com/ .

Referencias:

http://www.penetration-testing.comhttp://www.penetration-testing.com/

Ethical hacking: Test de intrusión. Principales metodologíashttp://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethical-hacking-test-intrusion-metodologias2.shtml

¿Cómo se realiza un Pentest?http://www.dragonjar.org/como-realizar-un-pentest.xhtml

Revisión histórica

Liberación original: 22-Oct-2010• Última revisión: 25 de octubre de 2010•

La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración yrevisión de este documento a:

Alejandro Reyes Plata• Galvy Cruz Valencia• Andrés Leonardo Hernández Bermúdez•

Para mayor información acerca de éste documento de seguridad contactar a:

UNAM-CERT Equipo de Respuesta a Incidentes UNAMSubdirección de Seguridad de la InformaciónDirección General de Cómputo y de Tecnologías de Información y ComunicaciónUniversidad Naciónal Autónoma de MéxicoE-Mail: seguridad@seguridad.unam.mxhttp://www.cert.org.mxhttp://www.seguridad.unam.mxftp://ftp.seguridad.unam.mxTel: 56 22 81 69Fax: 56 22 80 43