Capitulo 1 - Introducción al Ethical Hacking.pdf
Short Description
Download Capitulo 1 - Introducción al Ethical Hacking.pdf...
Description
Ethical Hacking
1
Capítulo 1 2
Introducción Introducción al Ethical Ethical Hacking Hacking
Al finalizar el capítulo, el alumno podrá:
Explicar los conceptos relacionados al Ethical Hacking.
Identificar los tipos de Ethical Hacking.
Analizar las etapas que un atacante establece para realizar un ataque.
Temas: 1. Conceptos básicos 2. Historia de los Hackers 3. Tipos de Evaluación 4. Etapas del Ethical Hacking 5. Metodología de Evaluación
CIBERTEC
Ethical Hacking
2
1. Conceptos básicos
Temas:
1. 2. 3. 4. 5.
Concep Conc epto tos s bás básic icos os Hist Hi stor oria ia de de los los Hack Hacker ers s Tip ipos os de Eva Evalu luac ació ión n Etapas Eta pas del Eth Ethica icall Hack Hacking ing Metodo Met odolog logía ía de Ev Evalu aluaci ación ón
1.1 Amenazas, Vulnerabilidades & Riesgos
Gráfico 1. Amenazas, vulnerabilidades y riesgos entrelazados como una cadena de eventos.
CIBERTEC
Ethical Hacking
3
Las organizaciones pueden realizar evaluación del riesgo al que están sometidas y de esta forma, prevenir el daño que se puede causar a un activo de información expuesto, sin protección o con protección mínima, ante agentes de amenaza que explotan la vulnerabilidad. Cuando se refieren a la seguridad informática, este tipo de evaluaciones, le corresponde al Ethical Hacking.
¿Por dónde se originan los problemas de seguridad? Puede variar dependiendo del grado de exposición en que se encuentre cada uno de los componentes. Por ejemplo, si se tiene una vulnerabilidad en un sistema que no ha sido mitigada, el problema de seguridad se genera, ya que existe la amenaza de ejecución de un ataque por parte de un hacker o cracker. Debido a la mayor interconexión entre los sistemas de información y las redes digitales, las consecuencias de un ataque perpetrado por atacantes, podrá tener consecuencias catastróficas para una organización. La gran cantidad de información disponible en Internet permite a personas no técnicas, la descarga de herramientas automatizadas que permiten realizar estos ataques con tan sólo un par de clics. Un ataque exitoso significaría pérdidas financieras, robo de información confidencial, agravios a la imagen institucional, problemas legales, etc.
Gráfico 2. Evolución de Ataques En el actual mundo digital las organizaciones encuentran difícil la tarea de proteger la información confidencial de sus clientes y a la vez, mantener una presencia pública en Internet. Para mitigar los riesgos existentes, estas organizaciones solicitan procesos de hackeo ético, para una evaluación de las vulnerabilidades presentes. El hackeo ético es una herramienta defensiva que evalúa las medidas de seguridad implementadas, simulando un intento de intrusión y que es desarrollado antes de que ocurra un ataque para descubrir vulnerabilidades en los sistemas de información y redes digitales. Además, provee la base para resolver las debilidades encontradas durante el proceso. Al simular un ataque
CIBERTEC
Ethical Hacking
4
verdadero, la organización puede ser testigo de hasta qué punto puede llegar un atacante al intentar vulnerar sus redes. Definición: “Ethical Hacking es el proceso desarrollado en un ambiente controlado , por el cual se utilizan las mismas técnicas y herramientas utilizadas por un atacante malicioso para vulnerar la seguridad de las redes de una organización, con el propósito de evaluar el estado de su seguridad. ”
1.2 Terminología El término seguridad puede ser entendido como un estado que define que un activo está fuera de peligro o riesgo. Este peligro es aquello que pueda afectar su funcionamiento o sus resultados. La seguridad total no existe, sin embargo, se puede definir el estado de un activo basándose en 3 principios básicos: confidencialidad,
integridad y disponibilidad.
a) Confidencialidad. A la información sólo pueden acceder las personas autorizadas para ello. b) Integridad. La información ha de estar completa y correcta en todo momento. c) Disponibilidad. La información está lista para acceder a ella o ser utilizada por un usuario válido cuando se necesita.
Gráfico 3. Principios básicos de seguridad. Dependiendo de los modelos utilizados o de las necesidades del negocio, también se toman en consideración los siguientes parámetros.
CIBERTEC
Ethical Hacking
5
d) Autenticidad. La información es lo que dice ser, o el transmisor de la información es quien dice ser. e) Trazabilidad. Poder asegurar en todo momento quién hizo qué y cuándo lo hizo.
1.3 Hacker, cracker y otros a)
Hacker Originalmente, el término hacker no tenía connotaciones negativas, pues era considerado como una persona con elevados conocimientos y que deseaba aprender tanto como pueda, sobre sistemas informáticos. Por lo que se pensaba que una persona que “hackea”, desarrolla y mejora el software para mejorar el performance de éste. Sin embargo, en la actualidad, el Hacker es quien se interesa por la tecnología; alguien que posee ansias de tener conocimientos sobre algo y posee una fuerte voluntad para pasarse horas delante del ordenador llevando a la práctica la teoría; es alguien compulsivo y obsesivo por acumular conocimientos. Es extrovertido e investiga todo lo relacionado con la electrónica y la informática. Le encanta descubrir cómo funcionan los programas o por lo menos, conocer para qué sirve cada cosa.
b)
Cracker Un cracker se dedica a vulnerar sistemas, ya sean electrónicos o informáticos, con el fin de conseguir una retribución a cambio. Aprovecha la oportunidad para demostrar al mundo que sabe más que nadie. En realidad es un hacker, pero con unas intenciones que van más allá de experimentar en casa, puesto que utiliza sus conocimientos para propósitos dañinos e ilegales.
c)
Lamer Un lamer rastrea las últimas herramientas desarrolladas en Internet, baja todos los programas y los prueba. Es peligroso, ya que no tiene conocimiento técnico sobre cómo funcionan las cosas por dentro, pero si cae en sus manos un programa generador de virus, una botnet o algún exploit, lo suelta en la red para probar los resultados. Es el típico individuo que se pasa la vida molestando a los demás, enviando bombas lógicas o virus por la red, robando contraseñas de correos, etc.
d)
Newbie Traducción literal de novato. Es alguien que empieza a partir de una web basada en Hacking. Inicialmente no hace nada y aprende lentamente. A veces se introduce en un sistema fácil y fracasa en el
CIBERTEC
Ethical Hacking
6
intento, porque no recuerda ciertos parámetros y entonces, tiene que volver a visitar la página web para seguir las instrucciones de nuevo. Es el típico individuo, simple y nada peligroso. e)
Phreaker Un phreaker es un hacker enfocado en sistemas de comunicación que utiliza sus conocimientos para lograr hacer llamadas gratuitas, hackear centrales telefónicas y todo lo referido a comunicaciones. Es una persona con conocimientos de telefonía insuperables. Conoce a fondo los sistemas telefónicos, incluso más que los propios técnicos de las compañías telefónicas. Ha sabido crear todo tipo de cajas de colores con una función determinada. Actualmente, se preocupa más de las tarjetas prepago, que de estas cajas, ya que suelen operar desde cabinas telefónicas o móviles.
f)
Cyber-Terrorist Un cyber-terrorist es un individuo que trabaja para un gobierno o un grupo terrorista y brinda sus conocimientos de hacking para realizar tareas de sabotaje, espionaje, robo y ataques a infraestructura crítica. Sin embargo, una mejor definición de hacker se puede tener, conociendo a los 3 tipos:
Whitehat: También llamado ethical hacker, es un profesional de la seguridad que utiliza sus conocimientos en redes e informática con propósitos defensivos para mejorar la seguridad de las organizaciones.
Blackhat: Es un cracker, utiliza sus conocimientos para atacar redes y conseguir algo a cambio.
Grayhat: Hace referencia al experto que algunas veces realiza actos ilegales y otras, como un WhiteHat.
1.4. Hacktivismo Los hackers crackers tienen distintas motivaciones y justificaciones para las acciones que toman. Aquellos que realizan sus actividades por una causa, son llamados hacktivistas. De esta manera, sus objetivos son cualquier organización que vaya en contra de sus ideales. Atacan a gobiernos, organizaciones internacionales, empresas privadas en busca de publicidad para su causa.
1.5. Estudios y certificaciones requeridas Los estudios respecto a Ethical Hacking permiten definir una línea común de conocimiento respecto a metodologías, técnicas y herramientas. Es por ello, que son importantes, asimismo, las certificaciones relacionadas son necesarias para demostrar que el hacker profesional ha alcanzado el nivel requerido para realizar las evaluaciones de seguridad informática y que, además, cumple con un código de ética.
CIBERTEC
Ethical Hacking
7
Certified Ethical Hacker es la certificación de más prestigio en Ethical Hacking y es otorgada por EC-COUNCIL. Para mayor información visitar la página web: http://www.eccouncil.org/CEH.htm OPST y OPSA son certificaciones otorgadas por ISECOM. Para mayor información visitar la página web: http://www.isecom.org GIAC Penetration Tester es la nueva certificación de SANS/GIAC, que es muy similar a CEH. OSCP, OSCE, OSWP son certificaciones otorgadas por Offensice Security y se caracterizan por su alto nivel práctico.
1.6. Terminología esencial del hacker a) Amenaza (threat): es aquel evento o actividad que tiene el potencial de desencadenar un incidente en la organización. El ethical hacker busca y prioriza las amenazas cuando realiza un análisis de seguridad. b) Activo: es el recurso del sistema informático, indispensable para que la organización funcione correctamente c) Riesgo: es la probabilidad que en una determinada circunstancia, una amenaza se materialice. d) Exploit: es una técnica o pedazo de software que se aprovecha de un bug, o vulnerabilidad, conduciendo al acceso no autorizado, escalamiento de privilegios o negación de servicio en un sistema informático. Un exploit es una manera de quebrar la seguridad de un sistema TI, a través de una vulnerabilidad. Hay dos métodos de clasificar los exploits:
Exploit Remoto: trabaja sobre una red y explota vulnerabilidades de seguridad, sin antes tener acceso al sistema vulnerable.
Exploit Local: requiere tener acceso al sistema vulnerable para incrementar privilegios.
CIBERTEC
Ethical Hacking
8
e) Vulnerabilidad: es la existencia de un defecto en el software, diseño lógico o error en la instalación, que puede ser explotado por una amenaza causando daño a los sistemas de información. f) Blanco de la evaluación (Target of Evaluation – TOE) : es un sistema, programa o red que está sujeto a un análisis o ataque. g) Ataque (attack): es una acción, exitosa o no, que intenta violar la seguridad de un activo. Muchos ataques son perpetuados vía un exploit. Los ethical hackers utilizan herramientas para encontrar sistemas que podrían ser vulnerables a un exploit, debido al sistema operativo, configuración de red o aplicación instalada en los sistemas y prevenir un ataque. Los ataques se dividen en dos tipos:
Ataque Activo: altera el sistema o red atacado.
Ataque Pasivo es simplemente, obtener información del sistema o red.
Además, los ataques pueden provenir desde dos sitios:
Interno: es decir, dentro la red; pueden ser empleados por proveedores que se encuentren dentro de la organización. Externo: ataques fuera del perímetro de la red u otras redes, Internet y hackers maliciosos.
Muchas veces, el ethical hacker requiere explotar vulnerabilidades y utilizar exploits para demostrar la existencia de dicha vulnerabilidad y eliminar la posibilidad de que se trate de un falso positivo. Sin embargo, en ningún caso, esta explotación hecha por el ethical hacker, puede poner en riesgo los activos de información de la organización evaluada.
1.7. Áreas de hacking La mayoría de las herramientas de hacking (troyanos, backdoors, sniffers, rootkits, exploits, buffer overflows, inyección SQL, etc.) explotan debilidades en una de las tres áreas siguientes: a)
Sistema operativo : muchos administradores de sistemas, instalan sistemas operativos con configuraciones por defecto, que permanecen no actualizados, dando como resultado vulnerabilidades potenciales, normalmente por falta de instalación de parches.
b)
Aplicaciones: los programadores, usualmente, son presionados para entregar funcionalidad antes que seguridad, lo cual podría dejar muchos defectos de programación que un hacker puede explotar.
c)
Configuraciones erradas: los sistemas pueden también ser mal configurados o dejados en configuraciones de seguridad baja para aumentar la facilidad de uso para el usuario, lo cual puede dar lugar a una vulnerabilidad y un ataque.
CIBERTEC
Ethical Hacking
9
1.8. Seguridad Informática vs. Seguridad de la Información El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios; mientras que se entiende por seguridad de la información, a todas aquellas medidas preventivas y reactivas de las organizaciones, así como de los sistemas, que permitan resguardar y proteger la información, buscando mantener la confidencialidad, la autenticidad, además de la integridad de la misma. La seguridad informática se centra principalmente en la seguridad de los ordenadores o los sistemas y lo hace partiendo de un punto de vista muy técnico y alejado de la visión del usuario, del gerente o del responsable. A pesar de que se hace hincapié en proteger los sistemas; por lo general, dicha protección se realiza sin unos criterios adecuados, que permitan establecer dónde se deben aplicar medidas de seguridad y por qué hay que aplicarlas. En este sentido, se debe recalcar que la seguridad en exceso, implantada incorrectamente o en lugar equivocado, puede ser tan mala como no disponer de ella. Ejemplo de Seguridad Informática:
LLÉVAME S.A. dispone de una empresa que le provee servicios tanto de soporte como informáticos, INFOBOLA S.A. Un día cualquiera, Juan Vendomotos, el comercial y gerente de INFOBOLA S.A., visita a Carlos Todoterreno y, como buen comercial, trata de explicarle las ventajas de disponer del nuevo «antivirus bidireccional de alto rendimiento y baja latencia con tecnología TrueERROR» en cada uno de los ordenadores de su empresa. Al terminar de contar la retahíla de bondades del producto, Carlos Todoterreno, sin haber entendido ni media palabra de lo que le ha explicado Juan Vendomotos, pregunta «¿cuánto cuesta?».
La seguridad de la información es un término más amplio y conceptual. Se basa en que lo fundamental, es proteger la información y en base a esta premisa, se desarrollan todas los demás aspectos relativos a la seguridad y a las medidas necesarias para aplicar, así como, el lugar donde hay que aplicarla. Es un concepto que tiene en cuenta, no solamente la seguridad tecnológica, sino también otras facetas de la seguridad, como son, la seguridad desde el punto de vista jurídico, normativo y organizativo.
Ejemplo de Seguridad de la Información:
Hace pocos días se produjo un pequeño incendio en el almacén de LLÉVAME S.A. ocasionado por unas cajas que estaban situadas muy cerca de una toma eléctrica no protegida a la que estaban conectados varios aparatos eléctricos, incluyendo el ordenador del almacén. Un sobrecalentamiento de la línea de alimentación provocó que las cajas comenzaran a quemarse. Afortunadamente, el operario del almacén estaba trabajando en ese momento y rápidamente apagó el incipiente fuego con el extintor del al macén. Hubo suerte, pero aún así, el incendio causó varios daños. Por un lado, se estropeó parte de la mercancía de un cliente. Además, la sobrecarga de la línea averió el ordenador del almacén con lo que durante varios días no se pudo acceder a la información del inventario, lo que supuso importantes retrasos en los envíos y la recepción del material. Después de este incidente, Carlos Todoterreno, el gerente de LLÉVAME S.A., se dio cuenta que no podía arriesgarse a tener la información del inventario en un único ordenador. Además, cayó en la cuenta de que no tenía copia de seguridad ni equipo de respaldo, ya que no había contratado estos servicios con INFOBOLA S.A. a pesar de que Juan Vendomotos, el insistente comercial, le había avisado del riesgo que corrían sin ellos.
CIBERTEC
Ethical Hacking
10
2. Historia de los Hackers
Temas:
1. 2. 3. 4. 5.
Conceptos básicos Historia de los Hackers Tipos de Evaluación Etapas del Ethical Hacking Metodología de Evaluación
Tener en cuenta:
La siguiente información está basada en el artículo “A Brief History of Hackerdom” escrito por Eric Steven Raymond. El artículo puede ser encontrado en: http://catb.org/~esr/writings/cathedral-bazaar/hackerhistory/
2.1 Los primeros Hackers Los comienzos de la cultura hacker, tal como se conoce actualmente, se puede fechar con seguridad en 1961, año en que el MIT (Instituto Tecnológico de Massachussets) adquirió la primera PDP-1. El comité de Señales y Energía del Tech Model Railroad Club adoptó la computadora e inventó herramientas de programación, un argot y toda una cultura en torno a ella. La cultura en torno a las computadoras del MIT parece haber sido la primera en adoptar el término "hacker". Los hackers del Tech Model Railroad Club se convirtieron en el núcleo del Laboratorio de Inteligencia Artificial del MIT, el centro más destacado de investigación sobre Inteligencia Artificial, a principios de los 80’s. Su influencia se extendió por todas partes a partir de 1969, año de la creación de ARPANET.
CIBERTEC
Ethical Hacking
11
ARPANET fue la primera red intercontinental de alta velocidad. Fue construida por el Departamento de Defensa estadounidense, como un experimento de comunicaciones digitales, pero creció hasta interconectar a cientos de universidades, contratistas de defensa y centros de investigación. Además, permitió a los investigadores, intercambiar información con una rapidez y flexibilidad sin precedentes, dando un gran impulso a la colaboración y aumentando el ritmo y la intensidad de los avances tecnológicos. Pero ARPANET hizo que sus autopistas electrónicas reuniera a hackers de toda Norteamérica, en lugar de permanecer en pequeños grupos aislados, desarrollando efímeras culturas locales, se descubrieron (o reinventaron) a sí mismos como una tribu interconectada. Las primeras creaciones deliberadas de la cultura hacker (las primeras listas de argot, las primeras sátiras, las primeras discusiones conscientes sobre la ética del hacker) se propagaron por ARPANET en sus primeros años. Concretamente, la primera versión del Jargon File http://www.catb.org/~esr/jargon/html/, se desarrolló mediante colaboración descentralizada entre 1973 y 1975. Este diccionario de argot se convirtió en un documento definitivo de esta cultura. Posteriormente, sería publicada como The Hacker's Dictionary, en el año 1983. La cultura hacker floreció en las universidades conectadas a la red, especialmente, en sus departamentos de informática. El Laboratorio de IA del MIT fue, prácticamente, el primero desde finales de los años sesenta. Pero el Laboratorio de Inteligencia Artificial de Stanford (SAIL) y la Universidad de Carnegie Mellon le seguían muy de cerca. Todos fueron prósperos centros de informática e investigación sobre IA.
2.2 El surgimiento de Unix En New Jersey un hacker de Laboratorios Bell, llamado Ken Thompson inventó Unix. Thompson había estado involucrado en el desarrollo de un sistema operativo de tiempo compartido llamado Multics, que compartía ascendencia con ITS. Multics fue un buen campo de pruebas para algunas ideas importantes sobre cómo ocultar al usuario o incluso a los programadores, las complejidades de un sistema operativo. La idea era hacer a Multics más fácil de usar (y de programar) para poder así, centrarse en el verdadero trabajo a realizar. Sin embargo, Laboratorios Bell se salió del proyecto. Ken Thompson echó de menos el entorno Multics y comenzó a realizar pruebas, implementando una mezcla de sus características y algunas ideas propias en una vieja DEC PDP-7 rescatada de la basura. Otro hacker llamado Dennis Ritchie, inventó un nuevo lenguaje llamado C, para usarlo en el embrionario Unix de Thompson. Al igual que Unix, C fue diseñado para ser ameno, flexible y no imponer límites. Pronto, el interés por estas herramientas se fue extendiendo por Laboratorios Bell y se les dio un buen impulso en 1971, cuando Thompson y Ritchie
CIBERTEC
Ethical Hacking
12
recibieron una oferta para crear lo que ahora se denomina, un sistema de automatización de oficinas, para uso interno de los laboratorios. Tradicionalmente, los sistemas operativos se escribían por completo en ensamblador para obtener la máxima eficiencia de las computadoras donde se instalaban. Thompson y Ritchie pudieron darse cuenta que las tecnologías del hardware y de los compiladores, habían mejorado lo suficiente como para que un sistema operativo pudiera escribirse usando únicamente C, y en 1978, el sistema completo había sido portado con éxito a varios tipos de computadoras. Si Unix podía tener la misma apariencia, el mismo potencial, en computadoras de distinto tipo, entonces, podría servir de entorno software común para todas ellas. Los usuarios no tendrían que pagar por un nuevo diseño de software cada vez que una máquina se quedara obsoleta. La combinación demostró poder adaptarse a un amplio rango de tareas de computación, incluyendo muchas, del todo imprevistas por sus diseñadores. Se extendió rápidamente por AT&T, a pesar de la falta de un programa oficial de soporte. Hacia 1980, se había extendido por un gran número de centros de computación de laboratorios y universidades, y miles de hackers, lo consideraban su hogar. Unix tenía incluso su propio sistema de redes, de tipo UUCP, con velocidades bajas y poca fiabilidad en la transmisión, pero barato. Cualquier par de máquinas Unix podía intercambiar correo electrónico "punto a punto" usando líneas telefónicas convencionales; esta funcionalidad estaba integrada en el propio sistema, no era ningún extra opcional. En 1980 los primeros servidores de USENET comenzaron a intercambiar noticias, formando un gigantesco tablón de anuncios que pronto crecería hasta superar en tamaño a ARPANET.
2.3 Los primeros Unix libres En el hueco dejado por el incompleto HURD de la Free Software Foundation, se había deslizado un estudiante de la Universidad de Helsinki, llamado Linus Torvalds, quien en 1991 había empezado a desarrollar un kernel libre para máquinas 386, usando el conjunto de herramientas de la FSF. Su rápido éxito inicial atrajo a muchos hackers de Internet con la intención de ayudar a desarrollar Linux, un sistema Unix completo de código fuente totalmente abierto y redistribuible. Linux evolucionó de una forma completamente diferente. Desde casi el primer momento, fue programado de forma eventual por un gran número de voluntarios coordinados a través de Internet. La calidad se mantenía, no con estándares rígidos o con autocracia, sino con la estrategia, ingenuamente sencilla, de publicar cada semana y obtener la respuesta de cientos de usuarios en cuestión de días, creando un tipo de selección darwiniana rápida, sobre las mutaciones presentadas por los desarrolladores. Para finales de 1993, Linux podía competir en estabilidad y fiabilidad con muchos de los Unix comerciales y contaba además, con una cantidad inmensamente mayor de software. Incluso comenzaba a atraer adaptaciones de aplicaciones comerciales. Un efecto indirecto de este desarrollo fue el exterminio de casi todos los pequeños proveedores de
CIBERTEC
Ethical Hacking
13
Unix propietario: sin desarrolladores ni hackers a los que vender su producto, tuvieron que cerrar. Uno de los pocos supervivientes, BSDI (Berkeley Systems Design, Incorporated) prosperó ofreciendo fuentes completas, junto a su Unix basado en BSD, y cultivando unos estrechos lazos con la comunidad hacker.
2.4 Hackers famosos a) Kevin Mitnick Es el más famoso hackers de los últimos tiempos. Nacido el 6 de Agosto de 1963 en Van Nuts, California, desde muy niño sintió curiosidad por los sistemas de comunicación electrónica y fue cultivando un obsesivo deseo por investigar cosas y lograr objetivos aparentemente imposibles, hasta llegar a poseer una genial habilidad para ingresar a servidores sin autorización, robar información, interceptar teléfonos, crear virus, etc. Cuando en 1992 el gobierno acusó a Kevin de haber substraído información del FBI, relacionada a la investigación de Ferdinand Marcos y de haber penetrado en computadoras militares, él se convirtió en un símbolo entre la comunidad internacional de hackers, después de que el FBI lo investigara y persiguiera infructuosamente durante tres años, y cuya captura se produjo en 1995, cuando los investigadores rastrearon sus huellas hasta llegar a un departamento en Raleigh, en Carolina del Norte. Mitnick fue arrestado por el FBI en Raleigh, North Carolina, el 15 de Febrero de 1995, pero fue liberado en Enero del 2000, después de permanecer casi 5 años en una prisión federal. Entre los agraviados se incluyen corporaciones, tales como Motorola, Novell, Nokia y Sun Microsystems, FBI, Pentágono y la Universidad de Southern California. b) Adrian Lamo Este joven manifiesta que está ayudando a las compañías y a los usuarios, a entender los límites de la seguridad en Internet, aunque sus métodos alarmen a los gigantes del medio. Famoso por no tener hogar, duerme en obras de construcción, cerca de Ben Franklin en Philadelphia. Lleva siempre consigo una laptop Toshiba y un celular, pero casi siempre navega en computadoras públicas con conexión del Internet. Trabaja temporalmente como consultor (freelance) de seguridad, a pedido de corporaciones. Hace unos años, Lamo se hizo conocido en los círculos de hackers al haber ingresado en las redes de America on Line, Yahoo y Worldcom, informando a sus administradores la forma cómo lo hizo. Los propios administradores lo han llamado brillante y "provechoso" por descubrir estos huecos en sus redes.
CIBERTEC
Ethical Hacking
14
c) Tsutomu Shimomura Fue un físico experto en seguridad, conocido por colaborar con John Markoff y ayudar al FBI a arrestar a Kevin Mitnick. Shimomura buscó, encontró y desenmascaró a Kevin Mitnick, el cracker/phreaker más famoso de USA, a principios de 1994. Después de que sus colegas del “San Diego Supercomputing Center” le informaron a Shimomura que alguien había robado centenares de programas y los ficheros de su estación de trabajo, éste trabajó en extremo para seguir al ladrón, a través del “WELL”. Un rastro del “telco labyrinthine” lo condujo eventualmente, a un complejo en Raleigh, N.C donde más tarde los agentes de FBI arrestarían a Mitnick en su departamento. Asimismo, Shimomura fue consultor del FBI, la fuerza aérea y de la agencia de la seguridad nacional (NSA). Sin embargo, antes fue un hacker del mundo oscuro, pues invadió el sistema de la AT&T y así pudo rastrear las llamadas y escucharlas, para luego dárselas al FBI. Se podría pensar que colaboró invadiendo en este caso excepcional, pero él ya tenía el sistema de invasión armado antes que se solicite el apoyo del servicio de defensa de USA.
CIBERTEC
Ethical Hacking
15
3. Tipos de Evaluación
Temas:
1. 2. 3. 4. 5.
Conceptos básicos Historia de los Hackers Tipos de Evaluación Etapas del Ethical Hacking Metodología de Evaluación
Una evaluación de seguridad puede ser llevada a cabo de varias maneras. La más común es a través del conocimiento sobre los detalles de implementación que tienen los consultores del sistema a ser evaluado o el Target of evaluation. Según esa métrica, se tienen 3 tipos de evaluaciones: a)
Blackbox: o caja negra; se da cuando los consultores no tienen conocimiento previo sobre la infraestructura y redes de la organización evaluada. Lo único que se conoce es el nombre de la organización.
b)
Whitebox: o caja blanca; es cuando los consultores tienen conocimiento completo sobre la red interna. Es posible también que se le provea de información como diagramas de red, lista de equipos, aplicaciones presentes, sistemas operativos, etc.
c)
Graybox: o caja gris; es una evaluación que simula las acciones de un empleado interno quien tiene acceso a las instalaciones y a las redes digitales.
ISECOM aplica los siguientes términos a los diferentes tipos de sistemas y de testeos de seguridad de redes, basados en tiempo y costo para el Testeo de Seguridad de Internet:
CIBERTEC
Ethical Hacking
16
Paso 1: Búsqueda de Vulnerabilidades: se refiere generalmente, a las comprobaciones automáticas de un sistema o sistemas dentro de una red.
Paso 2: Escaneo de la Seguridad: se refiere a las búsquedas de vulnerabilidades que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles de la red y análisis profesional individualizado.
Paso 3: Test de Intrusión: se refiere a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios precondicionales.
Paso 4: Evaluación de Riesgo: se refiere a los análisis de seguridad, a través de entrevistas e investigación de nivel medio que incluye la justificación de negocios, las justificaciones legales y las justificaciones específicas de la industria.
Paso 5: Auditoría de Seguridad: hace referencia a la inspección manual con privilegios administrativos del sistema operativo y de los programas de aplicación del sistema, o sistemas dentro de una red o redes.
Paso 6: Hacking Ético: se refiere a los tests de intrusión en los cuales, el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto.
Paso 7: Test de Seguridad y su equivalente militar, Evaluación de Postura: es una evaluación de riesgo con orientación de proyecto de los sistemas y redes, a través de la aplicación de análisis profesional mediante escaneos de seguridad donde la intrusión se usa generalmente, para confirmar los falsos positivos y los falsos negativos dentro del tiempo permitido de duración del proyecto.
Gráfico 4. Testeo de Seguridad de Internet.
CIBERTEC
Ethical Hacking
17
4. Etapas del Ethical Hacking
Temas:
1. 2. 3. 4. 5.
Conceptos básicos Historia de los Hackers Tipos de Evaluación Etapas del Ethical Hacking Metodología de Evaluación
Un ethical hacker sigue un proceso similar al usado por el de un atacante malicioso para realizar una evaluación de seguridad. Estos pasos, para conseguir y mantener acceso a un sistema informático, son similares independientemente de las intenciones de la acción. A continuación, se enumeran las 5 etapas de una prueba de penetración:
Reconocimiento: Pasivo - Activo Scanning Conseguir acceso Mantener acceso Borrar huellas
CIBERTEC
Ethical Hacking
18
Gráfico 5. Etapas de una prueba de penetración.
Fase 1: Reconocimiento Es la actividad preliminar en la cual, el atacante intenta adquirir información sobre un objetivo, antes de lanzar un ataque. En esta etapa el riesgo para la organización es notable porque es un intento temprano de conseguir información sobre la red y los sistemas de información utilizados. Asimismo, este reconocimiento puede ser activo o pasivo.
a) Reconocimiento Pasivo, es la recolección de información del objetivo sin que éste conozca o se dé cuenta; por ejemplo, mirar la entrada y salida de los empleados al edificio, el uso de motores de búsqueda, ingeniería social, monitoreo de red usando sniffers. Es toda acción de reconocimiento en la que no se haga conexiones (ni siquiera un ping) a los equipos de la organización. b)
Reconocimiento Activo, es la exploración de la red, equipos y servicios; también indica al hacker las medidas de seguridad implementadas, pero el proceso aumenta la posibilidad de ser capturado o elevar la sospecha. Algunas técnicas para realizar un reconocimiento activo es utilizar herramientas como el whois (ver figura 6), traceroute, e-mail tracking, nslookup, sam spade [3], web spiders a la IP o Dominio del objetivo.
CIBERTEC
Ethical Hacking
19
Figura 6. Footprinting con Smartwhois
Tabla 1. Pasos para realizar con éxito Footprinting. La tabla 1, muestra de manera muy resumida, los pasos para tener en cuenta y realizar un correcto footprinting.
CIBERTEC
Ethical Hacking
20
Fase 2 - Scanning Es la etapa que precede al ataque propiamente dicho. Consiste en conseguir información más detallada, basada en la data obtenida la etapa de reconocimiento. En Scanning se utilizan herramientas como escaners de vulnerabilidades, escaners de puertos y war dialers. El objetivo es conseguir cuentas de usuario, posibles puntos de entrada (vectores de ataque) además de reconocer posibles mecanismos de seguridad presentes, como sistemas de detección de intrusos. El riesgo para la organización en esta etapa es considerado alto porque implica acceso a la red y consecuencias perjudiciales, pero puede ser reducido al inhabilitar aplicaciones y servicios que no son necesarios. Los tipos de exploración o Scanning se dividen como lo muestra la siguiente tabla.
Tabla 2. Tipos de Scanning
Fase 3 – Obtener Acceso En esta etapa es donde el ataque, propiamente dicho, es realizado. El atacante accesa al sistema operativo y la red, para lanzar distintos ataques como: denegación de servicio, ataques de desbordamiento de buffer, ataques basados en aplicación y técnicas de crackeo de passwords o contraseñas.
CIBERTEC
Ethical Hacking
21
Figura 7. Crackeo de diccionario con Hydra
Figura 8. Ataque fuerza bruta con Cain & Abel Los ataques de Denegación de Servicio (DoS), hacen a un sistema inservible o retardan significativamente, por sobrecarga de recurso, esto impide que los usuarios legítimos puedan acceder al sistema. Existen dos categorías de ataques DoS, que puede ser enviado por un sistema único (simple DoS) o enviarse por muchos sistemas a un solo objetivo (DDoS) distribuido.
Fase 4 - Manteniendo el Acceso Una vez obtenido el acceso, es importante para el atacante, mantener el acceso conseguido para poder ingresar nuevamente al equipo. En esta etapa, las acciones típicas a realizar, pueden descargar ficheros que contienen passwords para realizar tareas de password cracking, instalar software como caballos de troya, puertas traseras, sniffers y Rootkits. Un caballo de troya es código o funcionalidad, escondida como parte de un software legítimo y funcional. Cuando es ejecutado, el caballo de troya que implementa una conducta maliciosa, también es ejecutado de una manera transparente para el usuario. Un Rootkit es software diseñado para proveer a un atacante, la habilidad de acceder a un equipo o red evitando ser detectado. Para evitar que otro atacante consiga acceso al mismo equipo, el atacante puede también reparar la vulnerabilidad que le permitió dicho acceso.
CIBERTEC
Ethical Hacking
22
Fase 5 - Borrando Rastros Es importante para el atacante, asegurarse que nadie sea consciente de sus actividades no autorizadas en el sistema. Nuevamente, los Rootkits son buenas herramientas para el borrado de huellas. En esta etapa, un atacante modificará o borrará los archivos de log para enmascarar eventos de seguridad. Debido a que un atacante instalará nuevo software para monitorear el sistema, este nuevo software deberá ser escondido para evitar su reconocimiento. Algunos mecanismos pueden ser usados para lograr el cometido (directorios ocultos, atributos ocultos, esteganografía y Alternate Data Streams (ADS)). ADS es una característica del sistema de archivos NTFS que permite agregar metainformación a un fichero, lo cual mantiene información asociada a un fichero particular sin requerir de espacio extra. ADS puede ser utilizado para ocultar un código malicioso que se ejecuta de manera transparente. Algunas de las técnicas a seguir, en el borrado de rastros, son las siguientes. a) Deshabilitar la Auditoria del sistema, en caso que se encuentre activa. b) Realizar el borrado de todos los logs posibles en el sistema y aplicaciones comprometidas. c) Borrar la evidencia o pistas de las herramientas utilizadas, o posibles programas instalados, según el ataque realizado. Para que no puedan rastrearlo ni dejar pista, se puede usar la esteganografia [10] para ocultar los archivos usados.
CIBERTEC
Ethical Hacking
23
5. Metodología de Evaluación El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizarse para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí, mediante Internet permitiendo su constante evolución. Representa un estándar de referencia imprescindible, para todo aquel que quiera llevar a cabo un testeo de seguridad en forma ordenada y con calidad profesional. A fin de organizar su contenido, la metodología se encuentra dividida en varias secciones. Del mismo modo, es posible identificar en ella, una serie de módulos de testeo específicos, a través de los cuales, se observan cada una de las dimensiones de seguridad integradas con las tareas a llevar a cabo.
OSSTMM no sólo alcanza los ámbitos técnicos y de operación de seguridad tradicionales, sino que se encarga de normar aspectos tales como: las credenciales del profesional a cargo del test, la forma en la que el test debe ser comercializado, la forma en la que los resultados del mismo deben ser presentados, las normas éticas y legales que deben ser tenidas en cuenta al momento de concretar el test, los tiempos para cada una de las tareas, y por sobre todas las cosas, incorpora el concepto de RAVs (Valores de Evaluación de Riesgo). La metodología fluye desde el módulo inicial hasta completar el módulo final. Permite la separación entre recolección de datos y tests de verificación de y sobre los datos recolectados. El flujo también determina los puntos precisos de cuándo extraer e insertar estos datos.
Figura 9. Recolección de datos. OSTMM está dividido en secciones, módulos y tareas.
CIBERTEC
Ethical Hacking
24
Las secciones son puntos específicos en el mapa de seguridad que se sobreponen entre sí y comienzan a descubrir un todo, que es mucho mayor a la suma de sus partes. Los módulos son el flujo de la metodología desde un punto de presencia de seguridad hacia otro. Cada módulo tiene una salida y una entrada. La entrada es la información usada en el desarrollo de cada tarea, mientras que la salida es el resultado de las tareas completadas. La salida puede o no ser, datos analizados (también conocido como inteligencia) para servir como entrada para otro módulo. Incluso puede la misma salida, puede servir como entrada para un módulo o sección.
5.1 Mapa de Seguridad El mapa de seguridad es una imagen de la presencia de seguridad. Corresponde al ambiente de un análisis de seguridad y está compuesta por seis secciones equivalentes a las de este manual. Las secciones se superponen entre sí y contienen elementos de todas las otras secciones. Un análisis apropiado de cualquier sección debe incluir los elementos de todas las otras secciones, directa o indirectamente. Las secciones en este manual son: a) b) c) d) e) f)
Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad
de la Información de los Procesos en las tecnologías de Internet en las Comunicaciones Inalámbrica Física
Figura 10. Mapa de seguridad.
CIBERTEC
Ethical Hacking
25
5.2 Lista de Módulos del Mapa de Seguridad La lista de módulos del mapa de seguridad contiene los elementos primarios de cada sección. Cada módulo debe incluir todas las Dimensiones de Seguridad que están integradas con tareas a ser desarrolladas. Además, para desarrollar un análisis de seguridad OSSTMM, de una sección particular, todos los módulos de la sección deben ser desarrollados y aquellos para los que no exista infraestructura y no pueda ser verificada, debe definirse como NO APLICABLE en la hoja de datos OSSTM, anexa al informe final. a) Seguridad de la Información Revisión de la Inteligencia Competitiva Revisión de Privacidad Recolección de Documentos
b) Seguridad de los Procesos Testeo de Solicitud Testeo de Sugerencia Dirigida Testeo de las Personas Confiables
c) Seguridad en las tecnologías de Internet Logística y Controles Sondeo de Red Identificación de los Servicios de Sistemas Búsqueda de Información Competitiva Revisión de Privacidad Obtención de Documentos Búsqueda y Verificación de Vulnerabilidades Testeo de Aplicaciones de Internet Enrutamiento Testeo de Sistemas Confiados Testeo de Control de Acceso Testeo de Sistema de Detección de Intrusos Testeo de Medidas de Contingencia Descifrado de Contraseña Testeo de Denegación de Servicios Evaluación de Políticas de Seguridad
d) Seguridad en las Comunicaciones Testeo de PBX Testeo del Correo de Voz Revisión del FAX Testeo del Modem
e) Seguridad Inalámbrica Verificación de Radiación Electromagnética (EMR) Verificación de Redes Inalámbricas [802.11] Verificación de Redes Bluetooth Verificación de Dispositivos de Entrada Inalámbricos Verificación de Dispositivos de Mano Inalámbricos Verificación de Comunicaciones sin Cable Verificación de Dispositivos de Vigilancia Inalámbricos Verificación de Dispositivos de Transacción Inalámbricos Verificación de RFID
CIBERTEC
Ethical Hacking
26
Verificación de Sistemas Infrarrojos Revisión de Privacidad
f) Seguridad Física Revisión de Perímetro Revisión de monitoreo Evaluación de Controles de Acceso Revisión de Respuesta de Alarmas Revisión de Ubicación Revisión de Entorno
5.3 Requisitos de las Plantillas de Informes Las siguientes plantillas son un breve ejemplo de los requisitos de los informes, los cuales indican la información que se debe mostrar en un informe como condición necesaria para calificar y ser certificado en conformidad con el OSSTMM. Sobre éstas plantillas se aplican restricciones de ámbito y alcance pertinentes.
CIBERTEC
Ethical Hacking
27
CIBERTEC
Ethical Hacking
28
CIBERTEC
Ethical Hacking
29
Laboratorio Nº 1
CIBERTEC
View more...
Comments