Ethical Hacking

Qu es el Ethical Hacking? Quines son los Ethical Hackers? Por qu hacer un Ethical Hacking? Tipos de Ethical Hacking Cules son los beneficios de un Ethical hacking ? Estndares Referencias Revisin histrica Ethical Hacking Por Alejandro Reyes Plata

Qu es el Ethical Hacking?

Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces de comprometer los sistemas informticos y robar informacin valiosa, o bien borrar una gran parte de ella. Esta situacin hace imprescindible conocer si estos sistemas y redes de datos estn protegidos de cualquier tipo de intrusiones. Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es explotar las vulnerabilidades existentes en el sistema de "inters" valindose de test de intrusin, que verifican y evalan la seguridad fsica y lgica de los sistemas de informacin, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intencin de ganar acceso y "demostrar" que un sistema es vulnerable, esta informacin es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados. Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de posibles escenarios donde se reproducen ataques de manera controlada, as como actividades propias de los delincuentes cibernticos, esta forma de actuar tiene su justificacin en la idea de que: "Para atrapar a un intruso, primero debes pensar como intruso" Para garantizar la seguridad informtica se requiere de un conjunto de sistemas, mtodos y herramientas destinados a proteger la informacin, es aqu donde entran los servicios del Ethical Hacking , la cual es una disciplina de la seguridad informtica que hecha mano de una gran variedad de mtodos para realizar sus pruebas, estos mtodos incluyen tcticas de ingeniera social, uso de herramientas de hacking , uso de Metasploits que explotan vulnerabilidades conocidas, en fin son vlidas todas las tcticas que conlleven a vulnerar la seguridad y entrar a las reas crticas de las organizaciones.

Quines son los Ethical Hackers?

Los hackers ticos tambin conocidos como Pen-Tester, como su nombre lo dice, realizan "Pruebas de Penetracin". Un hacker tico es un experto en computadoras y redes de datos, su funcin es atacar los sistemas de seguridad en nombre de sus dueos, con la intencin de buscar y encontrar vulnerabilidades que un hacker malicioso podra explotar. Para probar los sistemas de seguridad, los Ethical Hackers (hackers ticos) utilizan los mismos mtodos que sus homlogos, pero se limitan nicamente a reportarlos en lugar de sacar ventaja de ellos. El Ethical Hacking tambin es conocido como penetration testing (pruebas de penetracin) o i ntrusin testing (pruebas de intrusin). Los individuos que realizan estas actividades a veces son denominados "hackers de sombrero blanco", este trmino proviene de las antiguas pelculas del Oeste, en donde el "bueno" siempre llevaba un sombrero blanco y el "malo" un sombrero negro.

Por qu hacer un Ethical Hacking?

A travs del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los sistemas de informacin de una organizacin, esto se logra determinando el grado de acceso que tendra un atacante con intenciones maliciosas a los sistemas informticos con informacin crtica. Las pruebas de penetracin son un paso previo a los anlisis de fallas de seguridad o riesgos para una

organizacin. La diferencia con un anlisis de vulnerabilidades, es que las pruebas de penetracin se enfocan en comprobar y clasificar vulnerabilidades y no tanto en el impacto que stas tengan sobre la organizacin. Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos no autorizados y ajenos a la informacin como: crackers, hackers, ladrones, ex-empleados, empleados actuales disgustados, competidores, etc. Las pruebas de penetracin, estn totalmente relacionadas con el tipo de informacin que cada organizacin maneja, por tanto segn la informacin que se desee proteger, se determina la estructura y las herramientas de seguridad pero nunca a la inversa. Estas pruebas de penetracin permiten: Evaluar vulnerabilidades a travs de la identificacin de debilidades provocadas por una mala configuracin de las aplicaciones. Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de que la amenaza se convierta en realidad. Proveer recomendaciones en base a las prioridades de la organizacin para mitigar y eliminar las vulnerabilidades y as reducir el riesgo de ocurrencia de un evento desfavorable. La realizacin de las pruebas de penetracin est basada en las siguientes fases.

1. 1. Recopilacin de informacin 2. 2. Descripcin de la red 3. 3. Exploracin de los sistemas 4. 4. Extraccin de informacin 5. 5. Acceso no autorizado a informacin sensible o crtica 6. 6. Auditora de las aplicaciones web 7. 7. Elaboracin de informes 8. 8. Informe final

Tipos de Ethical Hacking

Las pruebas de penetracin se enfocan principalmente en las siguientes perspectivas: Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes especficas de los sistemas informticos crticos de la organizacin. Pruebas de penetracin sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informticos pertenecientes a la organizacin. Este tipo de pruebas suelen ser las ms laboriosas. Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la informacin pblica disponible sobre la organizacin. Pruebas de penetracin informadas: aqu se utiliza la informacin privada, otorgada por la organizacin acerca de sus sistemas informticos. En este tipo de pruebas se trata de simular ataques realizados por individuos internos de la organizacin que tienen determinado acceso a informacin privilegiada. Pruebas de penetracin externas: son realizas desde lugares externos a las instalaciones de la organizacin. Su objetivo es evaluar los mecanismos perimetrales de seguridad informtica de la organizacin. Pruebas de penetracin internas: son realizadas dentro de las instalaciones de la organizacin con el objetivo de evaluar las polticas y mecanismos internos de seguridad de la organizacin. A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el desarrollo de las pruebas es de conocimiento del personal informtico o no. Red Teaming : Es una prueba encubierta, es decir que slo un grupo selecto de ejecutivos sabe de ella. En esta modalidad son vlidas las tcnicas de "Ingeniera Social" para obtener informacin que permita realizar ataque. sta obviamente es ms real y evita se realicen cambios de ltima hora que hagan pensar que hay un mayor nivel de seguridad en la organizacin. Blue Teaming : El personal de informtica conoce sobre las pruebas. Esta modalidad se aplica cuando las medidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado como incidente, repercuten en la continuidad de las operaciones crticas de la organizacin, por ello es conveniente alertar al personal para evitar situaciones de pnico y fallas en la continuidad del negocio.

Cules son los beneficios de un Ethical hacking ?

Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un documento que contiene a grandes rasgos una lista detallada de las vulnerabilidades encontradas y verificables. Tambin se provee una lista de recomendaciones para que sean aplicadas por los responsables de seguridad en la organizacin. Este documento se compone de un informe tcnico y uno ejecutivo para que los empleados tcnicos y administrativos puedan entender y apreciar los riesgos potenciales sobre el negocio. Los beneficios que las organizaciones adquieren con la realizacin de un Ethical Hacking son muchos, de manera muy general los ms importantes son: Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de informacin, lo cual es de gran ayuda al momento de aplicar medidas correctivas. Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas (equipos de cmputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridad en las organizaciones. Identificar sistemas que son vulnerables a causa de la falta de actualizaciones. Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organizacin.

Los beneficios no slo se ven reflejados en la parte tcnica y operacional de la organizacin, sino en organizaciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficios reflejan una buena imagen y reputacin corporativa que en ocasiones es ms valiosa que las mismas prdidas econmicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en

consecuencia invierten mucho dinero en mecanismos de seguridad para minimizar las perdidas financieras. Es muy importante tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales deben tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo contratan. Estos aspectos abarcan la confidencialidad, es decir que a la informacin que los "Pen tester" encuentren no se le d un mal manejo o uso ms all de los fines previstos por las pruebas. Se deben indicar claramente en el contrato los objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos. En lo que respeta a la organizacin que contrata el servicio, sta debe garantizar que la informacin que se provee al "Pen Tester" es fidedigna para que los resultados sean congruentes y certeros. Sin embargo dada la naturaleza de las pruebas de penetracin es limitada la posibilidad de probar toda la gama de tcnicas y mecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informtico y en ocasiones obtener "falsos positivos", es decir resultados que indiquen una vulnerabilidad que realmente no es explotable.

Estndares

Existen una serie de buenas prcticas o normas generales en relacin con la seguridad de la informacin y de forma particular para pruebas de penetracin y almacenamiento de ciertos tipos de datos. Cualquier individuo que se dedique a realizar estas pruebas de penetracin, debe tener al menos un conocimiento prctico de estas normas las cuales se pueden consultar ms a detalle en: h ttp://www.penetration-testing.com/ .

Referencias:

http://www.penetration-testing.com http://www.penetration-testing.com/ Ethical hacking: Test de intrusin. Principales metodologas http://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethical-hacking-test-intru Cmo se realiza un Pentest? http://www.dragonjar.org/como-realizar-un-pentest.xhtml

Revisin histrica Liberacin original: 22-Oct-2010 ltima revisin: 25 de octubre de 2010

La Subdireccin de Seguridad de la Informacin/UNAM-CERT agradece el apoyo en la elaboracin y revisin de este documento a: Alejandro Reyes Plata Galvy Cruz Valencia Andrs Leonardo Hernndez Bermdez Para mayor informacin acerca de ste documento de seguridad contactar a: UNAM-CERT Equipo de Respuesta a Incidentes UNAM Subdireccin de Seguridad de la Informacin Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin Universidad Nacinal Autnoma de Mxico E-Mail: seguridad@seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43