Professional Documents
Culture Documents
ETHICAL HACKING /
PENETRATION TEST
Profesora:
Realizado por:
Milln, Edelalcira.
Delgado, Jhonger.
Madrid, Rubn
Ortega, Arymir.
Rojas, Katherin
Ruiz, Daniela
14-7-2016
Contenido
INTRODUCCIN ............................................................................................................................. 2
ETHICAL HACKING ....................................................................................................................... 4
Qu es el hacking tico? ............................................................................................................................. 4
Qu evala un hacker tico? ...................................................................................................................... 6
a. Seguridad fsica .......................................................................................................................................... 8
b. Seguridad en las comunicaciones .............................................................................................................. 8
c. Seguridad inalmbrica ................................................................................................................................ 8
d. Seguridad en las tecnologas de Internet ................................................................................................... 9
e. Seguridad del resguardo de informacin ................................................................................................. 10
f. Seguridad de los proceso .......................................................................................................................... 10
Riesgos de las pruebas de penetracin ...................................................................................................... 10
Beneficios de las pruebas de penetracin .................................................................................................. 13
Tipos de pruebas de penetracin ............................................................................................................... 14
Herramientas para realizar pruebas de penetracin .................................................................................. 18
Diferencias entre hackeo tico y pruebas de penetracin .......................................................................... 18
Pruebas de penetracin ............................................................................................................................... 18
Hackeo tico................................................................................................................................................. 19
CONCLUSIONES ........................................................................................................................... 21
REFERENCIAS .............................................................................................................................. 22
INTRODUCCIN
Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o
hackers capaces de comprometer los sistemas informticos y robar informacin valiosa, o
bien borrar una gran parte de ella. Esta situacin hace imprescindible conocer si estos
sistemas y redes de datos estn protegidos de cualquier tipo de intrusiones.
Con el rpido crecimiento de las tecnologas de Internet, la seguridad informtica se ha
vuelto una preocupacin mayor para los gobiernos y empresas, donde la posibilidad de
ser hackeado es proporcional a la seguridad implementada en su estructura.
Adems, los posibles clientes de los servicios provistos por estas entidades estn
preocupados por la forma en que se gestiona su informacin personal que puede variar
desde nmeros de seguro social, nmeros de tarjeta de crdito a direcciones domiciliarias.
ETHICAL HACKING
Qu es el hacking tico?
El hacking tico es en s una auditora efectuada por profesionales de seguridad de la
informacin, quienes reciben el nombre de pentester. A la actividad que realizan se le
conoce como hacking tico o pruebas de penetracin.
Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin de los
primeros ataques informticos a las organizaciones, los cuales trajeron graves
consecuencias, como prdidas monetarias y de reputacin. Es aqu donde interviene el
trabajo de un hacker tico, ya que su labor es buscar vulnerabilidades en los sistemas de
la organizacin para, posteriormente, poder mitigarlos y evitar fugas de informacin
sensible.
Durante los ltimos aos, nuevas tcnicas de intrusin que atentan contra la seguridad de
la informacin se han sofisticado, por lo que organizaciones y empresas han
implementado al hacking tico, aunque combatir la idea de que esta actividad es daina,
no ha sido tarea fcil.
El hacking tico, tambin es conocido como prueba de intrusin o pentest, se define
esencialmente como el arte de comprobar la existencia de vulnerabilidades de
seguridad en una organizacin, para posteriormente a travs de un informe, revelar
aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas
de informacin y ataques informticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos ayudan
a las organizaciones a reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo
de otro, se introdujeron los trminos crackers y hackers ticos. Los primeros identifican a
aqullos que realizan tcnicas de intrusin con fines maliciosos y lucrativos; mientras que
los segundos se refieren a quienes lo hacen con fines ticos y por el bien de la
organizacin que lo solicite.
Ernest & Young o PriceWaterhouse, han empezado a ofrecer servicios de hackeo tico, lo
cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de
honor y contratos especiales, que se firman entre los hackers ticos y las compaas
usuarias, para mayor proteccin de estas ltimas. En dicho contrato, se conviene que la
empresa da permiso para realizar la intrusin, marca un lapso de duracin, dispone las
fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte, donde
se enumeran las vulnerabilidades y fallas encontradas, as como las recomendaciones para
mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se
estipula que toda informacin encontrada a raz de las pruebas de penetracin, no podr
ser divulgada por el hacker a otra entidad que no sea la compaa que contrat sus
servicios, ni tampoco podr quedarse con una copia del reporte final generado para la
empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir con ello, se
hara acreedor a una demanda.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se hace
ingeniera social, es decir se trabaja con el personal o con los asociados de la empresa para
ver si se dejaran engaar para proporcionar contraseas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca
emular si un empleado de bajos privilegios podra tener acceso a los estados financieros o
a la nmina de la compaa. Se consideran adems los valores de los activos, la criticidad
de la vulnerabilidad y la probabilidad del ataque, su impacto, la forma de corregirlo y el
esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de negocio
del cliente, las pruebas siguen una metodologa y manejan estndares, como el Manual de
la Metodologa Abierta de Comprobacin de la Seguridad (OSSTMM, por sus siglas en
ingls) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM, las secciones a las cuales se
aplican el hacking tico son las siguientes:
Fig. 1 Mapa de SeguridadFuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1
de ISECOM
Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM
a. Seguridad fsica
Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase alude a
todas las redes de telecomunicacin, sean digitales o analgicas, la otra, se refiere a todos
los sistemas electrnicos y redes de datos donde la interaccin se realiza a travs de
cables establecidos y cables de lneas de red.
c. Seguridad inalmbrica
Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, tales pruebas son
esencialmente el "arte" de comprobar una aplicacin en ejecucin remota o local, sin
saber el funcionamiento interno de la aplicacin, para encontrar vulnerabilidades de
seguridad. Los mdulos de verificacin requeridos en el hacking tico para dicho rubro
son:
Logstica de Controles,
Sondeo de Red,
Identificacin de los servicios de sistemas,
Bsqueda de informacin competitiva,
Revisin de privacidad,
Obtencin de Documentos,
Bsqueda y verificacin de vulnerabilidades,
Testeo de aplicaciones de internet,
Enrutamiento,
Testeo de sistemas confiados,
Testeo de control de acceso,
Representa un mtodo para lograr acceso privilegiado a una organizacin y sus activos
mediante la ayuda involuntaria del personal de la organizacin, en especial con la ayuda
de aquellos que resguardan los puntos de accesos principales. Esto se hace por medios de
comunicacin tales como el telfono, e-mail, chat, tablones de anuncios, etctera, y se
realiza de una manera fraudulenta con la finalidad de obtener una posicin "privilegiada
En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de la
ingeniera social, la cual es una tcnica especializada o emprica del uso de acciones
estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente
realicen actos que normalmente no haran.
valor percibido o el profesionalismo de las pen test. Dada la lucha de poder entre
reas que existe, en algunas empresas, asegura Garcasi el departamento de
sistemas es el encargado de contratar las pruebas debe sentirse respaldado
previamente por la alta direccin, para que los resultados, sobre todo si no son del
todo positivos, no se utilicen como arma de pugnas.
Dar nfasis a la estrategia. Los Pen Test permiten priorizar riesgos y proponer
acciones, con acento en las reas alrededor de las amenazas principales. Las
buenas pruebas ayudan a entender por qu los problemas pueden ser crticos,
mientras dan sentido y direccin a los cambios sugeridos. El plan de accin que
derive de las pruebas debe considerar el impacto desde el punto de vista de la
probabilidad de ataques, vulnerabilidad y valor de los activos, as como el esfuerzo
a realizar en materia de planeacin, implementacin y administracin.
Contar con un catalizador efectivo. Los Pen Tests sirven tambin para: motivar el
cambio hacia el incremento de controles, enfocar los esfuerzos tcnicos, generar
conciencia y sentido de urgencia. Pero, si de verdad se quiere lograr esto es
necesario organizar una demostracin final de los ejercicios de irrupcin, pues de
acuerdo con Chapela: esto dice ms que mil documentos.
Y para cerrar el crculo conviene tambin organizar una reunin tcnica con el fin de
valorar a detalle los hallazgos, definir la forma de presentarlos a la alta direccin y trazar la
estrategia a seguir. Entre las prohibiciones a fijar entre quienes ejecutarn las pruebas
estn: no instalar jams puertas traseras (back doors), ni ocultar aplicaciones de acceso
remoto (bots, troyanos, rootkits y dems); no borrar, alterar o inhabilitar registros y,
desde luego, no apagar o modificar el comportamiento de las herramientas de deteccin
establecidas.
Entre los puntos que debe contener el informe posterior a las pruebas de penetracin
estn: un resumen para la alta administracin; un anlisis de los riesgos principales;
recomendaciones agrupadas por tipo de dispositivo, sistema operativo, bases de datos o
servidores de dominio y las acciones concretas a seguir.
sobrecarga en el sistema como, por ejemplo, una red lenta, memoria baja, etc., as como
determinar el impacto de estos factores en las caractersticas de seguridad.
Los ataques del entorno se llevan a cabo, a menudo, organizando de forma
malintencionada un entorno inseguro y ejecutando, a continuacin, la aplicacin en ese
entorno para ver cmo responde. Se trata de una forma indirecta de pruebas; los ataques
se emprenden contra el entorno en el cual funciona la aplicacin. Observemos ahora las
pruebas directas.
Ataques de entrada
autorizacin son seguros, as como la eleccin de entradas que varen las rutas de cdigo.
La mayora de las rutas de cdigo son seguras, pero es posible obtener acceso a la misma
funcionalidad de maneras diferentes, lo cual podra omitir de forma inadvertida algunas
comprobaciones cruciales.
Hackeo tico
Por otro lado, hacking tico es un amplio trmino que abarca todas las tcnicas de
hacking, y otras tcnicas de ataque informtico asociado. As, junto con el descubrimiento
de los fallos de seguridad y vulnerabilidades, garantizar la seguridad del sistema, que est
ms all del hackeo del sistema pero con un permiso con el fin de salvaguardar la
seguridad para futuros propsitos. Por lo tanto, podemos decir, que es un trmino
genrico y pruebas de penetracin es una de las caractersticas de hacking tico.
Las siguientes son las principales diferencias entre las pruebas de penetracin y Hacking
tico que se enumeran en la siguiente tabla
Pruebas de penetracin
Hackeo tico
para
asegurar
el
seguridad.
sistema
de de
penetracin
es
una
de
sus
caractersticas.
el
tema,
que
cuente
con
la
requiere un detallado
papeleo,
Para llevar a cabo este tipo de pruebas, Hacking tico implica mucho tiempo y
menos tiempo es necesario.
acuerdo
con
la
situacin,
Se
requiere
la accesibilidad
todos
los
sistemas
CONCLUSIONES
El hacking tico es una tcnica aplicada a distintos escenarios, por lo que es importante
hacerlo del conocimiento de la gente en beneficio de las organizaciones; as la relacin
entre deteccin y explotacin de vulnerabilidades existentes podr controlarse de la
mejor manera posible.
La idea de probar la seguridad de un sistema tratando de irrumpir en ella no es una idea
nueva. Ya sea que una compaa de automviles realice choques entre autos o un
individuo pruebe sus habilidades en artes marciales con otro compaero, la evaluacin
basada en probarse bajo ataque contra un adversario real est ampliamente aceptado
como prudente. Esto es sin embargo insuficiente por s mismo.
Una auditoria regular, vigilancia de intrusiones, una buena prctica de administracin de
sistemas y una conciencia de la seguridad informtica son todos partes esenciales de los
esfuerzos de seguridad de una organizacin. Una pequea falla en cualquiera de estas
reas muy bien podra exponer a la organizacin al ridculo, al cyber-vandalismo o algo
peor. Cualquier nueva tecnologa tiene sus beneficios y sus riesgos.
Aun cuando los hackers ticos pueden ayudar a los clientes a comprender mejor sus
necesidades de seguridad, est en manos de los clientes mantener la guardia alta.
REFERENCIAS
Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005). Madrid: Anaya
Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico: Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de proteccin
(2006). Mxico: Limusa.
Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995). Mxico
D.F: Ventura.
HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de Seguridad.
ISECOM Institute for Security and Open Methodologies.
6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed.
John Wiley & Sons Australia, USA, 2002, 577 pp.