Descripción: El término hacker, en la informática, simboliza al individuo que se dedica con profundidad a entender, mod...
METODOLOGÍAS DE HACKING ÉTICO Trabajo de Investigación Personal Milton Aranda Cerpa
[email protected] Docente: Sr. Gonzalo Lorca
Contenido Introducción .................................................................................................................................. 2 Fundamentación teórica ............................................................................................................... 3 ¿Qué es ser un hacker ético? .................................................................................................. 4 Habilidades del hacker ético ..................................................................................................... 4 Clasificación de los hackers. .................................................................................................... 5 Vulnerabilidades – Búsqueda y explotación............................................................................. 6 El ataque hacker........................................................................................................................... 7 Clasificación de los ataques ..................................................................................................... 7 Las diferentes fases del ataque................................................................................................ 7 Fase 1. Reconocimiento Y Recolección De Información Del Blanco ................................... 7 Fase 2. Escaneo y Recolección de Informaciones de la Red .............................................. 8 Fase 3. Obtención de acceso ............................................................................................... 9 Fase 4. Mantención del acceso. ......................................................................................... 10 Fase 5. Limpieza de huellas. .............................................................................................. 10 Principales técnicas utilizadas en el ataque ........................................................................... 11 Abordajes del ataque del hacker ético ................................................................................... 15 Pentest........................................................................................................................................ 16 Etapas des Pentest ................................................................................................................. 16 Resultados de un Pentest....................................................................................................... 16 Conclusión .................................................................................................................................. 18 Referencias................................................................................................................................. 19
1
Introducción El término hacker, en la informática, simboliza al individuo que se dedica con profundidad a entender, modificar o burlarse de los límites de seguridad de dispositivos, programas y redes de computadoras. En el entendimiento popular, el hacker está asociado a la persona con actitud maliciosa, cuya motivación, invariablemente conlleva al comprometimiento de los pilares de la información: La integridad, disponibilidad, autenticidad y privacidad de los datos y sistemas computacionales. En una visión más amplia, hacker es todo aquel individuo con habilidad que, aparte de comprometer y burlarse de los sistemas, contribuye para el desarrollo y mejoramiento tecnológicos, sea por el descubrimiento y la distribución de informaciones de seguridad, o por el desarrollo y mejoramiento de softwares o sistemas informatizados. El hacker por lo tanto, puede ser tanto mal intencionado como un profesional norteado por la ética y la legalidad. El principal objetivo de este informe es despertar el interés con respecto a la actividad del hacker ético y describir los principales conceptos y habilidades en amplio espectro del conocimiento hacker.
2
Fundamentación teórica Ser capaz de entender y definir bien la terminología hacker es una parte importante de la responsabilidad de cualquier profesional que tenga como objetivo estudiar el asunto. Esta terminología es la forma como los profesionales de seguridad que actúan como hacker éticos se comunican. Este lenguaje hacking es necesario como base para los conceptos que serán presentados posteriormente. a) Amenaza: Un ambiente o situación que podría llevar a una potencial violación de seguridad. hackers éticos buscan priorizar las amenazas al ejecutar un análisis de seguridad. hackers maliciosos, por si solos constituyen una amenaza a la seguridad de una organización. b) Exploit: Un extracto de software u tecnología que se aprovecha de un bug, falla o vulnerabilidad para promover el acceso no autorizado, la suplantación o la elevación de privilegios hasta la negación de un servicio en un sistema computacional. hackers están a la búsqueda de exploits para abrir brechas de seguridad y perpetrar el ataque. La mayoría de los exploits son pequeños trozos de códigos que, una vez ejecutados en un sistema, exponen sus vulnerabilidades. Hackers experimentados crean sus propios exploits, pero no es necesario tener grandes conocimientos de programación para ser un hacker ético, teniendo en vista que la disponibilidad de exploits prontos pueden ser utilizados en los testes de seguridad. Un Exploit, por lo tanto es un código definido para violar la seguridad de un sistema TI (Tecnología de la Información) a través de la vulnerabilidad. c) Vulnerabilidad: Es la existencia de una falla de software, diseño de lógica o error de ejecución que puede llevar a un evento inesperado e indeseado al ejecutar instrucciones maliciosas o perjudiciales a un sistema. d) Ataque: Actividad de explotación de vulnerabilidades, con la finalidad de permitir al atacante el acceso o el comprometimiento de un sistema o una red blanco. Un ataque puede ocurrir cuando un sistema está comprometido con base en una vulnerabilidad. Puede ser por ejemplo, el quiebre de mecanismos de seguridad, con fines de permitir el acceso no autorizado, el rayado de una página web, la denegación de servicio, la infección por malware o cualquier tipo que comprometa un sistema. e) Sistemas: Referencia genérica para definir una red, dispositivos, hosts, softwares y sistemas de seguridad que pueden servir de blanco para los hackers. f) Blanco: Objetivo a ser comprometido por el hacker. g) Malware: Referencia general a una variedad de artefactos, programas o códigos maliciosos construidos para infiltrarse de forma ilícita en un sistema de computadoras e intencionalmente causar daños, alterar o robar informaciones. h) Pentest: Test de penetración o test de invasión. Consiste en un conjunto de actividades que simulan la acción de un hacker mal intencionado, con la finalidad de auditar los mecanismos de seguridad del cliente. No tiene la intención de derribar al blanco, pero si te exponer sus vulnerabilidades e sus implicaciones.
3
¿Qué es ser un hacker ético? Son generalmente profesionales de seguridad o PenTesters que utilizan sus habilidades y herramientas con el propósito de protección y defensa. Estos profesionales testean sus propias redes y sistemas de seguridad en la búsqueda de vulnerabilidades utilizando las mismas herramientas que serían utilizadas por un hacker malicioso para comprometer la red. Cualquier profesional de informática puede adquirir habilidades de hacker ético. El objetivo principal de un hacker ético es ayudar las organizaciones a tomar las contramedidas esenciales contra los ataques de hackers mal intencionados o realizar ataques de auditoria en los propios sistemas, siempre obedeciendo los límites legales para lo mismo. La filosofía por detrás de un hacker ético es intentar capturar al delincuente, pensando como uno. Algunos cursos y certificaciones desarrollan esas habilidades hackers y pueden nortear el interesado en ese universo. Los principales son los GIAC de SANS, orientados a la seguridad y Pentest; curso de las Offensive Security como PWK, CTP y AWE y las certificaciones CEH y CHFI de la EC-Council.
Habilidades del hacker ético El hacker ético, para estar un paso al frente de los hackers mal intencionados, debe ser especialista en sistemas de computadores, tener conocimientos de programación, redes y sistemas operacionales. Tener conocimiento profundizado sobre las plataformas altamente segmentadas (como Windows, Unix y Linux) es también una exigencia. Paciencia, persistencia y perseverancia son cualidades importantes para hackers éticos. Esto es debido al periodo de tiempo e nivel de concentración necesarias para obtener éxito en la mayoría de los ataques. Habilidades de programación web y de base de datos, bien como el conocimiento en redes de computadores son bastante útiles para el hacker en la realización de hacking éticos y testes de vulnerabilidades. Cuando hace parte de un equipo de test de seguridad, el hacker adquiere funciones específicas y en algunos casos específicos asumir un rol en el equipo. En este caso, cada miembro del equipo tiene una especialidad distinta. Sin embargo, la mayoría de los hackers éticos tienen fuerte conocimiento de seguridad y contramedidas de seguridad para hacer frente y prevenir ataques. La actividad del Hacer ético es generalmente conducida de forma estructurada y organizada, generalmente como parte de un test de penetración o de auditoria de seguridad. La profundidad y el alcance de los testes aplicados en los sistemas sin generalmente determinados por las necesidades y las preocupaciones del cliente. Muchos hackers éticos son mientras del equipo de seguridad de TI y de respuesta a incidentes en redes de organización. Este equipo trabaja en conjunto para realizar testes en grande escala cubriendo todos los aspectos de la red, de la infraestructura física y de los sistemas de intrusión.
4
El hacker ético debe seguir ciertas reglas para garantizar que todas las obligaciones éticas y morales sean cumplidas:
Obtención de una autorización del cliente a través de contrato firmado, dando permiso al hacker ético para realizar testes. Firmar y mantener un acuerdo de no divulgación de datos y la firma de un contrato de confidencialidad con el cliente Mantener la confidencialidad al realizar el test. Los datos obtenidos pueden contener información sensible. Cualquier información sobre el test o la empresa son confidenciales y nunca deben ser compartidos con terceros. Definir y realizar el test hasta los límites acordados con el cliente. Se debe en conjunto con el cliente, establecer los límites máximos para los testes con el objetivo de no comprometer ninguna actividad de la organización.
Una auditoria de seguridad organizada, eficiente y ética, debe seguir los pasos a seguir:
Reunir con el cliente y discutir las necesidades que serán abordadas durante el test. Preparar y firmar los acuerdos de confidencialidad con el cliente. Organizar el equipo de hacking ético y preparar una agenda para el test. Realizar el test. Analizar los resultados de los testes y realizar un informe. Presentar las conclusiones del informe con para el cliente.
Clasificación de los hackers. La motivación es un parámetro importante para la clasificación de los hackers. Basado en ese parámetro, se destacan los siguientes tipos de hackers y sus perfiles.
White Hats: También conocidos como hackers del bien, o hacker éticos, cuya motivación es el mejoramiento y desarrollo de sistemas de seguridad, de nuevas tecnologías, siempre respetando los límites legales para lo mismo. Black Hats: Conocidos como Crackers, son los hackers mal intencionados cuya motivación principal es obtener alguna ventaja, sea financiera, por desafío personal o notoriedad. Se dividen entre: o Spammers: Utilizan correo en masa para distribuir malwares, golpes virtuales, propagandas y levantar informaciones de los usuarios o Espías corporativos: Tienen como objetivo ganar ventaja comercial a través del robo de informaciones corporativas sigilosas o Script Kids: hackers iniciantes que, por poco conocimiento que poseen, utilizan herramientas prontas construidas por otros hackers. o Delincuentes virtuales: Criminales que utilizan el medio electrónico para cometer delitos financieros, fraudes, estelionato en la búsqueda de una ventaja financiera. Gray Hats: Motivaciones personales o gubernamentales son el norte de sus acciones, que pueden ir desde la defensa de un sistema computacional, hasta el desarrollo de 5
armas digitales avanzadas con la finalidad bélica. Pueden actuar éticamente o de forma maliciosa, dependiendo de la situación o de la motivación. o Soldados virtuales: Agentes del gobierno, normalmente con algún conocimiento militar, actuantes en la guerra cibernética, con objetivos específicos estratégicos de motivación gubernamental. o Hacktivistas: Motivados por razones políticas, religiosas y otros tipos de creencias que juzgan válidas. Buscan humillar a sus adversarios o buscan notoriedad para su causa. En la mayoría de las veces actúan como Black Hats. o Phreaker: hackers especialistas en telefonía móvil y fija.
Vulnerabilidades – Búsqueda y explotación La búsqueda por vulnerabilidades es un proceso de descubierta de puntos débiles de un proyecto, el cual podría favorecer el ataque a un sistema. Existen varios sitios y herramientas para ayudar al hacker ético a mantener una lista de las vulnerabilidades y exploits funcionales y actualizados. Es esencial que los administradores de sistemas se mantengan actualizados sobre los más recientes virus, troyanos y otros exploits y malware con el fin de proteger adecuadamente sus redes. A parte de eso, al tornarse familiarizado con las amenazas más recientes, un administrador puede aprender cómo detectar, prevenir y recuperarse de un ataque. La búsqueda de vulnerabilidades difiere de la actividad del hacker por ser realizada pasivamente, a la búsqueda de posibles fallas de seguridad sin peligro de comprometerlas, mientras que el hacker lo intenta de forma activa y pasiva levantar el máximo de información con la finalidad de explotarlas. Existen muchos métodos y herramientas para localizar vulnerabilidades, explorar y comprometer sistemas. Troyanos, backdoors, sniffers, rootkits, buffer overflows y SQL Injection son algunos ejemplos de tecnologías que pueden ser usadas para “hackear” un sistema o una red. La mayoría de estas herramientas, explotan vulnerabilidades existentes que todavía no fueron corregidas, como:
Sistemas Operativos: Es común que administradores de sistemas informatizados instalen sistemas operativos con las configuraciones por defecto del desarrollados, resultando en una vulnerabilidad en potencial que permanece sin corregir. Aplicaciones: Aplicaciones generalmente no pasan por testes de vulnerabilidades cuando se desarrollan y dejan fallas en la programación que pueden ser explotadas Fallas de configuración: Sistemas también pueden ser configurados incorrectamente, o pueden tener sus configuraciones de seguridad reducidas en pro de la facilidad de utilización, lo que puede resultar en vulnerabilidades. Shrink-wrap code: Muchos softwares poseen funcionalidades extras desconocidas para el usuario común, que permiten la explotación. Un ejemplo son las macros de Microsoft Word, que pueden permitir que un hacker ejecute programas desde dentro del aplicativo. 6
El ataque hacker Es la actividad que tiene objetivo comprometer un blanco, a través de la explotación de vulnerabilidades y permitir al atacante el acceso indebido al sistema deseado.
Clasificación de los ataques Así como existen diferentes tecnologías a ser explotadas por los hackers, existen también diferentes tipos de ataques que pueden ser categorizados como activos y pasivos. Estos son utilizados tanto en infraestructuras de seguridad de redes como en estaciones de trabajo. Ataques activos generalmente modifican el sistema o la red atacada, afectando la disponibilidad, integridad y la autenticidad de los datos, mientras que ataque pasivos tienen como objetivos obtener información, comprometiendo la confidencialidad de los datos. Los ataques también son categorizados como inside (internos) u outside (externos). Un ataque originado desde dentro del perímetro de seguridad de una organización, es conocido como inside black o ataque interno y es causado por un agente (conocido como Insiders) que tienen acceso privilegiado a la red o sistema y por eso ganan mayor acceso a los recursos de la red comparado a lo que se puede obtener a través de un ataque externo, u outside attack.
Las diferentes fases del ataque Un hacker ético sigue etapas similares a los hackers mal intencionados. El paso a paso para obtener y mantener el acceso a un sistema computacional es el mismo, sin importar la intención o la motivación del hacker. Este proceso puede ser dividido en cinco fases: Reconocimiento, escaneo, obtención de acceso, mantención del acceso y ocultación de huellas.
Fase 1. Reconocimiento Y Recolección De Información Del Blanco Hace referencia a las actividades de reconocimiento activo y pasivo, con la finalidad de recolectar informaciones sobre el blanco y establecer una imagen del mismo o un footprint que permita al hacker evaluar y elegir la mejor forma de ataque. El reconocimiento pasivo, consiste en recolectar informaciones sobre un potencial blanco sin que el mismo tome conocimiento. El reconocimiento pasivo es generalmente realizado a través de búsquedas en fuentes abiertas, como buscadores web, medios sociales, sitios corporativos. Este proceso es conocido también como Information Gatherin. Otra forma de reconocimiento pasivo es el Sniffing Network, rastreo del tráfico de la red, que permite al
7
atacante, a través de su análisis, identificar direcciones IP, servidores o redes ocultas y otros servicios disponibles en la red. El reconocimiento activo presume interferencia en la red y por lo tanto, incurre en más riesgos de detección que el modo pasivo de ataque. El reconocimiento activo puede dar indicaciones cuidadosas sobre dispositivos de seguridad empleados por el blanco, sin embargo, dicho proceso aumenta las posibilidades de detección y rastreo del ataque. Ambos reconocimientos, activo o pasivo, pueden descubrir valiosas informaciones a ser utilizadas en el ataque, como versiones de sistemas operativos u por lo tanto, posibles vulnerabilidades a ser explotadas. La recolección de informaciones puede ser quebrada en siete pasos lógicos (Figura 1)
FIGURA 1. LOS SIETE PASOS DE LA RECOLECCIÓN DE INFORMACIONES SEGÚN LA METODOLOGÍA CEH (EXTRAÍDA DESDE CERTIFIED ETHICAL HACKER STUDY GUIDE)
Fase 2. Escaneo y Recolección de Informaciones de la Red Una vez pasado el reconocimiento y la recolección de informaciones del blanco, se procede al escaneo. El escaneo consiste en utilizar las informaciones obtenidas durante el reconocimiento y utilizarlas para examinar la red. Herramientas que el hacker puede utilizar en esta fase incluyen; Dialers, escáneres de puertos, escáneres ICMP y SNMP, barredores de Ping, mapeadores de red y escáneres de vulnerabilidades. Los tipos de escaneo son los siguientes:
Escaneo de Puertos – Tiene como objetivo determinar los puertos y servicios disponibles 8
Escaneo de red – Tiene como objetivo identificar direcciones IP de una red determinada o una subred. Escaneo de vulnerabilidades – Tiene como objetivo descubrir vulnerabilidades conocidas en el blanco.
A través del escaneo, los hacker puede obtener informaciones importantes como: Nombre de equipos, sistemas operativos, softwares instalados, direcciones IP, cuentas de usuario etc.
FIGURA 2. METODOLOGÍA DE ESCANEO DEL CEH. EXTRAÍDO DE CERTIFIED ETHICAL HACKER STUDY GUIDE
Fase 3. Obtención de acceso Esta fase consiste en la invasión propiamente dicha. Vulnerabilidades expuestas durante las fases de reconocimiento y escaneo ahora son explotadas con la finalizad de permitir el acceso al sistema blanco. El ataque puede ser deliberado a través de la red local (LAN), cableada o inalámbrica, acceso físico al PC; internet u offline. Una vez con el acceso, el hacker busca escalar privilegios en el sistema con la finalidad de asumir el control total del mismo. Los principales ataques estarán relacionados en el próximo punto. 9
Fase 4. Mantención del acceso. Una vez que el hacker gana acceso al sistema blanco, es necesario mantener el acceso para futuros ataques. A menudo, el hacker corrige las vulnerabilidades previamente existentes en el sistema, con el objetivo de impedir que otro hacker las explote, garantizando así el acceso exclusivo a través de backdoors, rootkits y troyanos. Son ejemplos de actividades en esta etapa:
Instalación de rootkits – Es un tipo de programa usado para ocultar funcionalidades dentro de un sistema comprometido. Los rootkits incluyen los mencionados backdoors que ayudan al atacante a posteriori acceder de forma más fácil el sistema comprometido. Ocultación de archivos – El hacker debe esconder los archivos implantados dentro del sistema con la finalidad de prevenir la detección de los archivos que hayan sido utilizados para el comprometimiento del sistema o la mantención de acceso en sí. Existen varias formas de ocultar archivos, una de ellas es por ejemplos de sus atributos.
Fase 5. Limpieza de huellas. Pasada la etapa en que el hacker obtiene y mantiene el acceso al sistema blanco de ataque, es necesario limpiar las huellas con la finalidad de remover las evidencias e impedir la detección de la invasión por los sistemas de seguridad, prevenir su identificación, rastreo y localización por las autoridades. Las huellas del ataque son apagados a través de la remoción o alteración de los archivos de Log (registros) o alarmas de intrusos (IDS), por técnicas como Esteganografía y tunneling de protocolos. La primera cosa que el invasor debe realizar al adquirir privilegios de administrador, es apagar los mecanismos de auditoria del sistema operativo, como registros de Log y eventos. Antes de abandonar el sistema comprometido, es importante revisar los registros de eventos y apagar el historial, asegurándose que se haya eliminado cualquier huella que identifique una actividad sospechosa.
10
Principales técnicas utilizadas en el ataque Passwords attacks: Corresponde al quiebre criptográfico de contraseñas y datos, se puede realizar online u offline. El éxito de este ataque depende de factores como la fuerza de la contraseña (tamaño y complejidad), del algoritmo criptográfico utilizado, capacidad computacional empleada, configuraciones de seguridad, etc. Escalada o elevación de privilegios: Corresponde a agregar derechos y permisos a la cuenta invadida, o sea, transformar un usuario corriente en administrador. Las cuentas de administradores existen en menor cantidad y están protegidas y monitoreadas, por lo mismo las cuentas de usuarios comunes son más susceptibles a una invasión. Ejecución de aplicaciones: Una vez que el hacker logra una cuenta con privilegios de administrador, el próximo paso es ejecutar aplicaciones dentro del sistema blanco. Esto permitirá la instalación de backdoors (puertas traseras), keyloggers (malware que registra las pulsaciones en el teclado) para adquirir informaciones confidenciales, copiar archivos o solamente causar daño al sistema, o realizar lo que el hacker pretenda. Uso de Malwares: Troyanos y backdoors son herramientas para el hacker obtener acceso a un sistema. Existen diversas variedades, todas con una característica común; deben ser instaladas por otros programas o un usuario debe ser inducido a instalarlas en su sistema. Otros malwares como virus y gusanos pueden ser tan destructivos como troyanos y backdoors. Muchos virus cargan troyanos y pueden infectar un sistema y en seguida, crear un backdoors o modificar el sistema para permitir el acceso al hacker. Sniffers o rastreador de tráfico: Son herramientas que capturan paquetes de tráfico no destinadas a la dirección del dispositivo rastreador, sea de forma activa o pasiva. Se utilizan técnicas como ARP Spoofing, DNS Spoofing, MAC Flooding, Port Mirroring o Port Scan, técnicas que permiten capturar el tráfico de la red, reenviando al dispositivo sniffer. En este tipo de actividad, el hacker está habilitado a capturar y analizar protocolos como el HTTP, POP3, SNMP y FTP en la búsqueda de contraseñas, cuentas, informaciones confidenciales y hasta reconstruir archivos que navegan por la red.
11
Denegación de servicio: El objetivo de este tipo de ataque es tornar un sistema inutilizable o significativamente lento, a través de agotamiento de recursos o impidiendo usuarios de accederlo, comprometiendo la disponibilidad. Este tipo de ataque, puede ser perpetrado contra un individuo o una red completa de forma exitosa. Se categoriza de dos maneras:
Ataque originado desde un simple dispositivo hacia un blanco uno o una víctima, llamado denegación de servicio simple, o DoS. Ataque originado desde muchos dispositivos contra un blanco único, también conocido como Denegación de Servicio Distribuida o simplemente DDoS. Es una versión avanzada de DoS, pero que parte desde diferentes dispositivos al mismo tiempo de forma que el blanco no pueda soportar el gran volumen de conexiones. Ocurre de forma coordinada y en larga escala, a través de redes zombis con centenas o millares de dispositivos infectados (slaves) comandados por un control central (master)
FIGURA 3. ESQUEMA DE UN ATAQUE DDOS. EXTRAÍDO: CERTIFIED ETHICAL HACKER STUDY GUIDE
El objetivo de un ataque de denegación no es obtener acceso no autorizado a una maquina o a datos confidenciales, pero prevenir que usuarios legítimos tengan acceso al servicio. Dicho objetivo se logra de las siguientes formas:
Inundando una red con tráfico, impidiendo el tráfico de red legítimo; Interrumpiendo conexiones entre dos máquinas, impidiendo el acceso al servicio; Impedir un individuo especifico acceder a un servicio e Interrumpiendo el propio servicio de un sistema o un individuo especifico. 12
Ataques a aplicaciones Web: Este tipo de ataque tiene como objetivo, comprometer servidores web, alterando su contenido, accediendo a su base de datos, corrompiendo sus aplicaciones, con la finalidad de acceder informaciones confidenciales almacenadas, como cuentas de usuarios, contraseñas, tarjetas de crédito, correos, datos personales o simplemente alterando su contenido para exponer vulnerabilidades o adquirir notoriedad. Por estos motivos, este tipo de ataque es bastante atractivo para el hacker y en especial a los hacktivistas y criminosos virtuales, por el impacto que pueda causar en una organización. Las principales amenazas para las aplicaciones web son:
Cross-Site Script – Corresponde a un atributo inserto en un formulario de una aplicación web que con la combinación correcta de variables puede resultar en la ejecución de un comando arbitrario. SQL Injection – Consiste en inserir comandos SQL en una URL para manipular la base de datos del servidor apagando, alterando o creando informaciones en dicha base de datos. Command Injection – Consiste en inserir comandos de programación en formularios web. Cookie Poisoning y Snooping – consiste en corromper, alterar o robar cookies almacenados en el blanco. Buffer Overflow – consiste en enviar enormes cantidades de datos para un aplicativo web a través de un formulario, con la finalidad de ejecutar comandos arbitrarios. Authentication Hijacking – Corresponde al robo de una sesión web de un usuario ya autenticado. Directory Transversal/Unicode – Corresponde en navegar en directorios del servidor web a través del navegador.
Ataques a redes inalámbricas: Las redes inalámbricas corresponden a otro punto de acceso a una red local. Por tratarse de una tecnología relativamente nueva, existen muchas vulnerabilidades a ser explotadas. Con la popularización de la tecnología, tanto por la facilidad de instalación y uso, sumando al creciente número de dispositivos móviles conectados por esta tecnología, la seguridad inalámbrica se ha tornado unos problemas cada vez mayor tanto en redes corporativas como en residencias a la medida que se crean muchas oportunidades para hackers mal intencionados. Incluyendo organizaciones que no adoptan las redes inalámbricas en su política de seguridad, pueden estar vulnerables a través de las redes inalámbricas no autorizadas que son instaladas por trabajadores descuidados o agentes mal intencionados. Secuestro de sesión: es un método hacking que crea un DoS temporal en un usuario, mientras el hacker asume su sesión (previamente establecida). Es ejecutado para controlar la sesión actual del usuario legítimo luego de haber establecido y autenticado una sesión. Puede ser utilizado para perpetrar un ataque de hombre en el medio (man-in-the-middle attack), estableciendo una conexión intermediaria entre el servidor y el cliente, permitiendo la interceptación de todo el tráfico a través de técnicas de sniffing.
13
Seguridad física: Permitir el acceso físico a la infraestructura de red de una organización es permitir que el hacker asuma el control de esta red. La seguridad física puede ser considerada el área más crítica de la seguridad en TI en el sentido de prevenir la pérdida o robo de datos confidenciales y sensibles. Sin una seguridad física adecuada, todas las otras medidas de seguridad técnica, tales como Firewalls y sistemas de detección de intrusos (IDS) pueden ser ignoradas. Fallas en la seguridad física, facilitan el robo de equipos como laptops o unidades de almacenamiento, la instalación de keyloggers o de sniffers. Por depender directamente del factor humano, la seguridad física es fácilmente susceptible a ataque de ingeniería social. Los insiders (amenazas internas) se aprovechan de estas lagunas en la seguridad física para lanzar ataques dentro del perímetro interno de seguridad de la organización de forma más fácil. Las violaciones de seguridad física más comunes son:
Instalación de malware como keyloggers, virus, troyanos, backdoors, rootkits; Identificación y captura de credenciales de seguridad como contraseñas o certificados; Conexión física con la red cableada para rastrear datos confidenciales, como contraseñas y números de tarjetas de crédito; El acceso a sistemas para recolectar datos que pueden ser usados para romper contraseñas almacenadas localmente en el sistema; Oportunidad de instalar puntos de acceso no autorizados para crear una red inalámbrica con acceso a la red cableada; Robo de documentos electrónicos y de papel; Robo de informaciones sensibles de fax; Dumpster Diving Attack (revolver la basura en búsqueda de informaciones); Grabación no autorizada de videos de seguridad; Hurto y extravió de equipos.
Subversión de sistemas de seguridad: Sistemas de detección de intrusos (IDS), firewalls y honeypots son las principales medidas de seguridad utilizadas para impedir al hacker de tener acceso no autorizado al sistema. El IDS y el Firewall son dispositivos de filtrado de paquetes y son esencialmente usados para monitorear el tráfico con base en un conjunto predeterminado de reglas. Un honeypot es un blanco falso y usado para atraer los hackers y resguardar los blancos más valiosos. El nivel de seguridad de esos dispositivos será tan bueno cuando sean sus implementaciones. Los hackers poseen habilidades de ultrapasar y subvertir esas barreras de seguridad a través de técnicas de evasión que permiten al hacker pasar desapercibido por estos sistemas.
14
Abordajes del ataque del hacker ético Hackers éticos suelen utilizar diferentes abordajes durante la simulación del ataque o del Pentest. Las más comunes son: Red Remota: Partiendo desde una red remota, este abordaje permite simular un ataque que provenga desde internet. El hacker ético busca encontrar y explotar vulnerabilidades de fuera del perímetro de seguridad de la red, como firewalls, proxys o enrutadores. Red discada remota: Este abordaje permite simular un invasor lanzando un ataque contra dispositivos de modem del cliente. La técnica utilizada se llama War Dialing y consiste en buscar vulnerabilidades de seguridad en redes del tipo Dial-Up (conexiones discadas) Red Local: Simula un ataque hacker que posee acceso, con o sin autorización, a la red local. Esto permite que el ataque sea lanzando dentro del perímetro de seguridad de la red. Equipo extraviado: Simula el robo o pérdida de equipos con informaciones críticas, como un Laptop extraviado por un empleado. Informaciones como nombres de usuario, contraseñas, configuraciones de seguridad y tipos de criptografía pueden ser extraídas del equipo extraviado. Ingeniería social: El uso de ingeniería social explora el factor humano de la organización a través de sus empleados, usando técnicas computacionales o no, con la finalidad de obtener informaciones para la utilización durante el ataque. La ingeniería social puede ser utilizada para obtener nombres de usuarios, cuentas, contraseñas y otras medidas de seguridad de la organización. Acceso físico: El abordaje de acceso físico consiste en permitir que el hacker obtenga acceso físico al sistema con la finalidad de plantar algún malware como virus, troyanos, rootkits y keyloggers directamente en la red o en el dispositivo blanco de ataque.
15
Pentest Significa test de penetración o test de invasión. Esta actividad se basa en un conjunto de acciones que simulan el ataque de un hacker mal intencionado a un sistema. Sin embargo, no tiene como objetivo comprometer el sistema del cliente visto que no tiene la finalidad de auditoria en sus mecanismos de seguridad, levantando sus vulnerabilidades y las implicaciones de las mismas en el sistema testeado. Cuando se ejecuta un Pentest, el hacker ético utiliza uno o más tipos de testes en el sistema. Cada tipo de ataque, simula un ataque con diferentes niveles de conocimiento como sistema blanco. Caja negra: También conocido como Black-Box, este tipo de test abarca realizar una evaluación y test de seguridad sin ningún conocimiento privilegiado de la red o sistema a ser testeado. Este test simula un ataque outside de un hacker mal intencionado (Black Hat) que envía el ataque desde fuera del perímetro de seguridad de la organización. Caja blanca: Conocida como White-Box, este tipo de test abarca realizar una evaluación y test de seguridad con el mismo conocimiento sobre la infraestructura que el administrador de red contiene. Caja gris: La Grey-Box simula un ataque enviado por un agente interno (insider) desde dentro del perímetro de seguridad de la organización. Se considera que este tipo de atacante tiene un conocimiento parcial de la infraestructura de la red.
Etapas des Pentest Una vez que el test de penetración simula la actividad de ataque de un hacker malintencionado, las fases en que se dividen esta actividad son las mismas presentadas anteriormente. 1. 2. 3. 4. 5.
Reconocimiento, Information Gathering y Footprint Escaneo y enumeración Ataque, Gaining Access o Exploitation Mantención del Acceso, o Access Keeping Limpiezas de huellas o Covering Tracks.
Resultados de un Pentest El principal producto de un Pentest es el informe. Este informe detalla los resultados de las actividades desarrolladas, los tipos de testes realizados y los métodos de ataque utilizados. Estos resultados son comparados con una evaluación inicial de seguridad y cualquieras vulnerabilidades identificadas son detalladas y contramedidas son sugeridas.
16
Este documento normalmente es entregado a la organización en formato impreso, por razones de seguridad. Los detalles del reporte del Pentest deben ser tratados de forma confidencial porque revelan los riesgos y las vulnerabilidades dentro de la organización. Su divulgación indebida, podrá traer riesgos a la seguridad del cliente. El reporte debe contener:
Un listado de las vulnerabilidades descubiertas en orden de mayor riesgo; Un análisis del resultado; Una conclusión o explicación de sus descubiertas; Medidas de reparación para las vulnerabilidades descubiertas; Los archivos de log de herramientas que ofrezcan elementos de prueba de sus resultados Un sumario ejecutivo de la postura de seguridad de la organización El nombre del testador y el cronograma de los testes realizados; Sugerencias de buenas prácticas en seguridad
17
Conclusión La actividad del hacker ético ha crecido en relevancia paralelamente al crecimiento del valor estratégico de la propia información. Este profesional cada vez más representa el bastión de defensa y seguridad de la información dentro del ambiente hostil de guerra cibernética, entregando valor estratégico a las empresas que invierten en el sector. Es necesario entender cómo funciona el universo hacker para reaccionar, proteger y defender los activos de información de empresas y gobiernos. Por este motivo, cada vez más las naciones han investido en capacitación de sus recursos humanos, para garantizar supremacía en ese nuevo ambiente de combate en la actualidad, el ambiente cibernético.
18
Referencias Graves, Kimberly (2010), CEH – Certified Ethical hacker STUDY GUIDE, Editora Sybex. Disponible en: http://bit.ly/1Mdk9xt
19