Ethical Hacking ¿Qué es el Ethical Hacking? Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces de comprometer los sistemas informáticos y robar información valiosa, o bien borrar una gran parte de ella. Esta situación hace imprescindible conocer si estos sistemas y redes de datos están protegidos de cualquier tipo de intrusiones. Por tanto el objetivo fundamental del Ethical acking !hackeo "tico# es e$plotar las vulnerabilidades e$istentes en el sistema de %inter"s% vali"ndose de test de intrusión, que verifican y eval&an la seguridad f'sica y lógica de los sistemas de información, redes de computadoras, aplicaciones (eb, bases de datos, servidores, etc. )on la intención de ganar acceso y %demostrar% que un sistema es vulnerable, esta información es de gran ayuda a yuda a las organi*aciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados. +icho lo anterior, el servicio de Ethical acking consiste en la simulación de posibles escenarios donde se reproducen ataques de manera controlada, as' como actividades propias de los delincuentes cibern"ticos, esta forma de actuar tiene su justificación en la idea de que %Para atrapar a un intruso, primero debes pensar como intruso% Para garanti*ar la seguridad informática se requiere de un conjunto de sistemas, m"todos y herramientas destinados a proteger la información, es aqu' donde entran los servicios del Ethical acking , la cual es una disciplina de la seguridad informática que hecha mano de una gran variedad de m"todos para reali*ar sus pruebas, estos m"todos m"todos incluyen tácticas de ingenier'a ingenier'a social, uso de herramientas de hacking , uso de -etasploits que e$plotan vulnerabilidades conocidas, en fin son válidas todas las tácticas que conlleven a vulnerar la seguridad y entrar a las áreas cr'ticas de las organi*aciones.
¿Quiénes son los Ethical Hackers? Los hackers "ticos tambi"n conocidos como Pen/ester, Pen/ester, como su nombre lo dice, reali*an %Pruebas de Penetración%. 0n hacker "tico es un e$perto en computadoras y redes de datos, su función es atacar los sistemas de seguridad en nombre de sus due1os, con la intención de buscar y encontrar vulnerabilidades que un hacker malicioso podr'a e$plotar. Para probar los sistemas de seguridad, los Ethical ackers !hackers "ticos# utili*an los mismos m"todos que sus homólogos, pero se limitan &nicamente a reportarlos en lugar de sacar ventaja de ellos. El Ethical acking tambi"n es conocido como penetration testing !pruebas de penetración# o i ntrusión testing !pruebas de intrusión#. Los individuos que reali*an estas actividades a veces son denominados %hackers de sombrero blanco%, este t"rmino proviene de las antiguas pel'culas del 2este, en donde el %bueno% siempre llevaba un sombrero blanco y el %malo% % malo% un sombrero negro.
¿Por qué hacer un Ethical Hacking? 3 trav"s del Ethical acking !es posible detectar el nivel de seguridad interno y e$terno de los sistemas de información de una organi*ación, esto se logra determinando el grado de acceso que tendr'a un atacante con intenciones maliciosas a los sistemas informáticos con información cr'tica. Las pruebas de penetración son un paso previo a los análisis de fallas de seguridad o riesgos para una organi*ación. La diferencia con un análisis de vulnerabilidades, es que las pruebas de penetración se enfocan en comprobar y clasificar vulnerabilidades y no tanto en el impacto que "stas tengan sobre la organi*ación. Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y e$plotadas por individuos no autori*ados y ajenos a la información como crackers, hackers, ladrones, e$empleados, empleados actuales disgustados, competidores, competidores, etc. Las pruebas de penetración, están totalmente relacionadas con el tipo de información que cada organi*ación maneja, por tanto seg&n la información que se desee proteger, se determina la
estructura y las herramientas de seguridad pero nunca a la inversa. Estas pruebas de penetración permiten Evaluar vulnerabilidades a trav"s de la identificación de debilidades provocadas por una mala configuración de las aplicaciones. 3nali*ar y categori*ar las debilidades e$plotables, con base al impacto potencial y la posibilidad de que la amena*a se convierta en realidad. Proveer recomendaciones en base a las prioridades de la organi*ación para mitigar y eliminar las vulnerabilidades y as' reducir el riesgo de ocurrencia de un evento desfavorable. La reali*ación de las pruebas de penetración está basada en las siguientes fases. •
•
•
4. 4. 5ecopilación de información 6. 6. +escripción de la red 7. 7. E$ploración de los sistemas 8. 8. E$tracción de información 9. 9. 3cceso no autori*ado a información sensible o cr'tica :. :. 3uditor'a de las aplicaciones (eb ;. ;. Elaboración de informes <. <. =nforme final
Tipos de Ethical Hacking Las pruebas de penetración se enfocan principalmente en las siguientes perspectivas Pruebas de penetración con objetivo se buscan las vulnerabilidades en partes espec'ficas de los sistemas informáticos cr'ticos de la organi*ación. Pruebas de penetración sin objetivo consisten en e$aminar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organi*ación. Este tipo de pruebas suelen ser las más laboriosas. Pruebas de penetración a ciegas en estas pruebas sólo se emplea la información p&blica disponible sobre la organi*ación. Pruebas de penetración informadas aqu' se utili*a la información privada, otorgada por la organi*ación acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques reali*ados por individuos internos de la organi*ación que tienen determinado acceso a información privilegiada. Pruebas de penetración e$ternas son reali*as desde lugares e$ternos a las instalaciones de la organi*ación. >u objetivo es evaluar los mecanismos perimetrales de seguridad informática de la organi*ación. Pruebas de penetración internas son reali*adas dentro de las instalaciones de la organi*ación con el objetivo de evaluar las pol'ticas y mecanismos internos de seguridad de la organi*ación. •
•
•
•
•
•
3 su ve*, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el desarrollo de las pruebas es de conocimiento del personal informático o no. Red Teaming : Es una prueba encubierta, es decir que sólo un grupo selecto de ejecutivos sabe de ella. En esta modalidad son válidas las t"cnicas de %=ngenier'a >ocial% para obtener información que permita reali*ar ataque. ?sta obviamente es más real y evita se realicen cambios de <ima hora que hagan pensar que hay un mayor nivel de seguridad en la organi*ación. Blue Teaming : El personal de informática conoce sobre las pruebas. Esta modalidad se aplica cuando las medidas tomadas por el personal de seguridad de las organi*aciones ante un evento considerado como incidente, repercuten en la continuidad de las operaciones cr'ticas de la organi*ación, por ello es conveniente alertar al
personal para evitar situaciones de pánico y fallas en la continuidad del negocio.
¿Cuáles son los beneficios de un Ethical hacking ? 3l finali*ar el Ethical acking se entrega el resultado al cliente mediante un documento que contiene a grandes rasgos una lista detallada de las vulnerabilidades encontradas y verificables. /ambi"n se provee una lista de recomendaciones para que sean aplicadas por los responsables de seguridad en la organi*ación. Este documento se compone de un informe t"cnico y uno ejecutivo para que los empleados t"cnicos y administrativos puedan entender y apreciar los riesgos potenciales sobre el negocio. Los beneficios que las organi*aciones adquieren con la reali*ación de un Ethical acking son muchos, de manera muy general los más importantes son 2frecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información, lo cual es de gran ayuda al momento de aplicar medidas correctivas. +eja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas !equipos de cómputo, s(itches, routers, fire(alls# que pudieran desencadenar problemas de seguridad en las organi*aciones. =dentificar sistemas que son vulnerables a causa de la falta de actuali*aciones. +isminuir tiempo y esfuer*os requeridos para afrontar situaciones adversas en la organi*ación. •
•
• •
Los beneficios no sólo se ven reflejados en la parte t"cnica y operacional de la organi*ación, sino en organi*aciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficios reflejan una buena imagen y reputación corporativa que en ocasiones es más valiosa que las mismas p"rdidas económicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en consecuencia invierten mucho dinero en mecanismos de seguridad para minimi*ar las perdidas financieras. Es muy importante tener en cuenta los aspectos legales en la reali*ación de un Ethical hacking, los cuales deben tenerse muy presentes tanto por las organi*aciones que prestan el servicio como por quienes lo contratan. Estos aspectos abarcan la confidencialidad, es decir que a la información que los %Pen tester% encuentren no se le d" un mal manejo o uso más allá de los fines previstos por las pruebas. >e deben indicar claramente en el contrato los objetivos espec'ficos de las pruebas de penetración para evitar futuros malos entendidos. En lo que respeta a la organi*ación que contrata el servicio, "sta debe garanti*ar que la información que se provee al %Pen /ester% es fidedigna para que los resultados sean congruentes y certeros. >in embargo dada la naturale*a de las pruebas de penetración es limitada la posibilidad de probar toda la gama de t"cnicas y mecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informático y en ocasiones obtener %falsos positivos%, es decir resultados que indiquen una vulnerabilidad que realmente no es e$plotable.