Scribd Logo
Carica

Benvenuto in Scribd!

  • Informatica 007

    Caricato da

    xotonuco
    391 visualizzazioni115 pagine

    Titolo originale

    INFORMATICA-007

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    391 visualizzazioni115 pagine

    Informatica 007

    Caricato da

    xotonuco

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 115

    FACULTAD DE CIENCIAS DE LA COMPUTACIN Y ELECTRNICA

    MEMORIA TCNICA PREVIA A LA OBTENCIN DEL TTULO DE INGENIERO EN INFORMTICA

    TEMA: HACKEO TICO Y SUS PRINCIPALES METODOLOGAS

    AUTORA: LILIANA RODRGUEZ

    TUTOR: ING. JHONNY BARRERA J. MSc.

    QUITO ECUADOR

    2010

    DEDICATORIA

    Este trabajo est dedicado a mi querido esposo por su amor y paciencia, a mis amados padres por su sabidura y abnegacin, a mis amados hijos por ser la luz de mis ojos, y a mis hermanas y hermano por su apoyo incondicional.

    AGRADECIMIENTO

    A Dios Todopoderoso, Jehov, por todas sus bendiciones, por la oportunidad de poder vivir y por la fortaleza que me brinda para seguir adelante todos los das. A Carmen y Hugo, mis padres quienes con su ejemplo y entrega han sabido guiarme por el camino del bien. A mi amado esposo, Juanito que a lo largo de estos aos ha sido mi confidente, amigo leal y sincero, mi gran apoyo y compaero de luchas. A mis tiernos hijos, Jonathan y Emily, que son la luz de mis ojos, el germen permanente y renovado de energas y de ganas para continuar o volver a comenzar si es necesario. A mis hermanas y hermano que son mi gran respaldo y fuente de apoyo. A mis profesores, amigos y compaeros.

    Liliana

    NDICE GENERAL Descripcin Pgina

    Resumen. ................................................................................................... 1 Introduccin ................................................................................................... 2 Descripcin del problema............................................................................... 3 Objeto de estudio. .......................................................................................... 3 Campo de la investigacin. ............................................................................ 3 Objetivo General. ........................................................................................... 4 Objetivos Especficos. .................................................................................... 4 CAPTULO I ................................................................................................... 6 FUNDAMENTACIN TERICA .................................................................... 6 1.1 1.2 1.3 1.4 1.4.1. 1.4.2. 1.4.3. 1.4.4. 1.4.5. 1.5 1.5.2. 1.5.1. 1.5.2. 1.5.3. 1.6 Seguridad Informtica. ................................................................ 6 La Sociedad de Internet. ............................................................. 9 Tipos de Ataques a los Sistemas Informticos. ........................ 15 Proceso de Ataque de un hacker .............................................. 16 Reconocimiento activo y pasivo. ............................................... 17 Sondeo o Bsqueda. ................................................................ 17 Obteniendo el acceso ............................................................... 17 Manteniendo el acceso. ............................................................ 17 Cubriendo las huellas. .............................................................. 18 Hacker tico.............................................................................. 18 Clases de Hacker tico. ............................................................ 19 Sombreros Negros Reformados (Reformed Black Hats). ......... 19 Sombreros blancos (White Hats). ............................................. 19 Empresas de Consultora (Consulting Firms). .......................... 19 Hackeo tico. ............................................................................ 19

    1.6.1. 1.7 1.8. 1.8.1. 1.8.1.1. 1.8.1.2. 1.8.1.3. 1.8.1.4. 1.8.1.5. 1.8.1.6. 1.8.1.7. 1.8.2. 1.8.3. 1.8.3.1 1.8.3.2 1.8.3.3

    Objetivos del Hackeo tico. ...................................................... 20 Tipos de Pruebas de Hackeo tico. .......................................... 22 Metodologas del Hackeo tico................................................. 25 OSSTMM .................................................................................. 26 Seccin A: Seguridad de la Informacin. .................................. 29 Seccin B: Seguridad de los Procesos ..................................... 31 Seccin C: Seguridad en las Tecnologas de Internet. ............. 33 Seccin D: Seguridad de las Comunicaciones. ........................ 40 Seccin E: Seguridad Inalmbrica. ........................................... 41 Seccin F: Seguridad Fsica. .................................................... 46 Plantillas de Informes. ............................................................... 48 Gua de Pruebas de Intrusin de OWASP. ............................... 48 ISSAF........................................................................................ 57 Fase I: Planeacin y Preparacin ............................................. 59 Fase II: Evaluacin. .................................................................. 59 Fase III: Presentacin de Informes, Limpieza y Destruccin de Artefactos. ................................................................................. 63

    CAPTULO II ................................................................................................ 65 DIAGNSTICO SITUACIONAL ................................................................... 65 2.1. 2.2. 2.3. 2.4. Antecedentes. ........................................................................... 65 Problemas. ................................................................................ 66 Requerimientos: ........................................................................ 67 Anlisis de la Situacin Actual. ................................................. 68

    CAPTULO III ............................................................................................... 70 DISEO DE LA PROPUESTA ..................................................................... 70 3.1. Descripcin de la Propuesta. .................................................... 70

    3.2. 3.3. 3.3.1. 3.3.2. 3.4. 3.4.1. 3.4.2. 3.4.2.1. 3.4.2.2. 3.4.2.3. 3.4.3.

    Escenario de prueba. ................................................................ 70 Descripcin del diseo de la solucin. ..................................... 71 Objetivo. .................................................................................... 72 Seleccin de la metodologa. .................................................... 72 Implementacin del Hackeo tico. ............................................ 73 Fase I: Planeacin. ................................................................... 73 Fase II: Evaluacin. .................................................................. 73 Recopilacin de Informacin ..................................................... 73 Sondeo de la Red e Identificacin de Vulnerabilidades. ........... 73 Penetracin, ganar acceso y escalado de privilegios. .............. 75 Fase III: Informe. ....................................................................... 76

    CONCLUSIONES. ............................................................................................... 77 RECOMENDACIONES. ............................................................................... 78 BIBLIOGRAFA. ........................................................................................... 82 ANEXOS. ................................................................................................. 84

    NDICE DE FIGURAS

    Descripcin

    Pgina

    Figura 1.1: Topologa de red con libre acceso para hackers. ........................8 Figura 1.2: Mapa de Seguridad de OSSTMM ..............................................27 Figura 1.3: Mdulo de Evaluacin y Tareas de OSSTMM ..........................29 Figura 1.4: Fases de Evaluacin de ISSAF .................................................59 Figura 2.1: Instalaciones exteriores de 1000 Mil Bordados .......................65 Figura 2.2: Instalaciones interiores de 1000 Mil Bordados ........................66 Figura 3.1: Escenario utilizado en la prueba de intrusin. ...........................71 Figura 3.1: Alcance de la prueba de penetracin.........................................72 Figura 3.2: Uso de Advanced IpScan. .........................................................74 Figura 3.3: Uso de Free IP Scanner. ...........................................................74 Figura 3.4: Uso de Zmap/Nmap. ..................................................................75 Figura 3.5: Uso de Zmap/Nmap. ..................................................................75 Figura 3.6: Uso de IpSecScan. ....................................................................76 Figura 3.7: Uso de Cain. ..............................................................................76

    NDICE DE TABLAS Descripcin Pgina

    Tabla 2.1: Principales puertos y su servicio ................................................ 21 Tabla 2.2: Actividades para el Sondeo de la Red ....................................... 34 Tabla 2.3: Tareas de la Bsqueda y verificacin de vulnerabilidades. ........ 35 Tabla 2.4: Determinacin de la severidad del riesgo: Cualificacin. ........... 56 Tabla 2.1: Lista de servidores de 1000 Mil Bordados. .............................. 68 Tabla 2.2: Lista de algunos de los equipos de la red. ................................. 68 Tabla 3.1: Caractersticas de la estacin de trabajo atacante ..................... 71

    UNITA
    UNIVERSIDAD TECNOLGICA AMRICA FACULTAD DE CIENCIAS DE LA COMPUTACIN Y ELECTRNICA

    CERTIFICACIN
    Fecha: 7 de abril de 2010

    En mi calidad de tutor la Memoria Tcnica, titulada: HACKEO TICO Y SUS PRINCIPALES METODOLOGAS, presentado por LILIANA VIRGINIA

    RODRGUEZ VILLACS para optar por el ttulo de Ingeniera en Informtica, doy f de que dicho trabajo fue realizado en su totalidad por la estudiante mencionada y rene los requisitos y mritos suficientes para ser sometido a la respectiva evaluacin en el acto de Defensa por parte del Tribunal que se designe.

    Firma:

    ________________________________ NOMBRE: ING. JHONNY BARRERA J. MSC. C.I.

    Resumen El hackeo tico es una evaluacin de los niveles de seguridad de un sistema y/o red de computadoras, que mediante un ataque real realizado de la misma manera que lo hara un hacker verdadero consigue detectar las vulnerabilidades, explotarlas para conseguir un acceso, escalar privilegios, modificar archivos, informacin, configuraciones, y dejar puertas abiertas para poder ingresar al sistema o red a conveniencia. Se diferencia del hackeo que es realizado por un hacker malicioso porque a diferencia de ste ltimo el hacker tico lo hace bajo el consentimiento del responsable del sistema o red informtico y con la finalidad de determinar los mecanismos para proteger la infraestructura informtica. En un proceso de hackeo tico se debe aplicar una metodologa que le permita desarrollarse de manera lgica y organizada. Las metodologas ms utilizadas son OSSTMM (Manual de Metodologa de Evaluacin de Seguridad Abierta), Gua de Pruebas de Penetracin de OWASP e ISSAF (Framework de Evaluacin de Seguridad de Sistemas de Informacin). OSSTMM es un manual, considerado como un estndar para un hackeo tico realizado desde el exterior de cualquier entorno hacia el interior, es decir desde Internet o una conexin remota. Se la considera como una de las metodologas ms completas debido a que evala todos los entornos de seguridad de la infraestructura informtica. Se divide en seis secciones: Seguridad de la Informacin, de los procesos, en las tecnologas de Internet, de las

    Comunicaciones, de redes inalmbricas y la seguridad fsica. La gua de pruebas de intrusin de OWASP, es un libro que se enfoca

    especficamente a la realizacin de pruebas para aplicaciones web, su proceso abarca la recopilacin de informacin, pruebas de gestin de configuracin, pruebas de autenticacin, pruebas de gestin de sesiones, pruebas de autorizacin, pruebas de la lgica de negocio, de la validacin de los datos, de la denegacin de servicios, y pruebas de los servicios web, y de AJAX. Finalmente ISSAF detalla las tareas a ejecutar en una evaluacin de seguridad a los sistemas y redes informticos, se compone de tres fases: la planeacin y preparacin, la evaluacin y la presentacin de informes.

    Introduccin

    Actualmente las empresas y organizaciones utilizan la Internet como un medio de publicidad, promocin, provisin de servicios, comunicacin, realizacin de transacciones financieras y manejo de informacin confidencial, por lo cual la

    infraestructura informtica debe tener un alto nivel de seguridad, pues en caso de ser el blanco de ataque de algn hacker, tanto la informacin como la infraestructura no podrn ser comprometidas. A nivel internacional los personeros de las empresas y organizaciones estn tomando bastante en serio las medidas y mecanismos de proteccin relacionados con la seguridad de los sistemas y redes de computadoras, sobretodo de la informacin que administran, pues cada vez es ms comn escuchar que muchas computadoras alrededor del mundo estn siendo atacadas por hackers, donde la infraestructura informtica es

    comprometida, y la informacin sustrada., para contrarrestar situaciones como estas es necesario verificar que los sistemas informticos y redes de computadoras se encuentran protegidos ante posibles intrusiones. Precisamente el objetivo fundamental del hackeo tico es evaluar la brecha existente entre la seguridad y las debilidades de los sistemas y redes informticos, y ayudar a los tcnicos de las empresas y organizaciones a que tomen las medidas necesarias para robustecerlos y prepararlos para resistir futuros ataques, valindose para ello de pruebas de penetracin o intrusin, y bajo la filosofa: "Para atrapar a un ladrn debes pensar y actuar como un ladrn"1, lo que quiere decir Para evitar ser atacado por un hacker, piensa y acta como hacker. Este documento est compuesto de tres captulos, en el primer captulo se hace una introduccin de la seguridad informtica y las amenazas presentes en Internet para abordar el tema del hackeo tico y sus tres principales metodologas, y en el captulo 2 y 3 se detalle una como se lleva a cabo una prueba de penetracin sencilla utilizando la metodologa ISSAF.

    MENNDEZ, Maikel y BOLUFE Mallelin: Hacking tico. Test de intrusin. Principales La Habana, 2009, http://www.monografias.com/trabajos59/etica-hacker/etica-

    metodologas,

    hacker.shtml, pg. 1

    Descripcin del Problema. En la actualidad las empresas y organizaciones en general tienen la gran necesidad de involucrarse en el mbito competitivo global mediante su presencia en Internet, lo que conlleva a que su infraestructura informtica e informacin queden expuestas, y que puedan ser fcilmente aprovechadas por intrusos que entran a los sistemas y redes informticas de forma no autorizada con el afn de obtener beneficios personales. Estas intrusiones le pueden ocasionar a las empresas grandes prdidas econmicas. Las infraestructuras informticas pueden presentar falencias de seguridad en cualquier momento, lo que representa un enorme riesgo si es atacada por un hacker. Estas falencias se pueden detectar y explotar mediante un proceso de hackeo tico, que se sustenta en el hecho de que para estar protegido se debe conocer cmo operan los hackers y operar cmo ellos. La presente investigacin propone un estudio tcnico profundo sobre el hackeo tico y sus tres metodologas ms conocidas y difundidas, para que mediante su aplicacin; las debilidades y vulnerabilidades que presentan algunos sistemas informticos y redes de computadoras puedan ser detectadas, y corregidas a tiempo. Objeto de Estudio.

    Aplicacin de la informtica para proteccin de los recursos tangibles e intangibles de las empresas y organizaciones. Campo de la Investigacin.

    La seguridad informtica como medio de proteccin de la confidencialidad e integridad de la informacin y de la disponibilidad de los recursos de las empresas y organizaciones.

    Objetivo General. Desarrollar un estudio tcnico sobre los principios del hackeo tico, las principales metodologas y la factibilidad de la implementacin en las empresas y

    organizaciones como un proceso peridico de proteccin de sus redes y sistemas informticos.

    Objetivos Especficos.

    Recopilar informacin de diferentes fuentes bibliogrficas referentes al hackeo tico y sus principales metodologas.

    Analizar y sintetizar la informacin recopilada para registrarla en un documento tcnico.

    Seleccionar y probar la funcionalidad de las herramientas de software que los hackers comnmente utilizan.

    Realizar una prueba de intrusin a la red de computadoras de la microempresa 1000 Mil Bordados, para demostrar de forma prctica como se realiza un hackeo tico basado en la metodologa ISSAF.

    Utilizar herramientas de software disponibles en Internet, en cada una de las fases del hackeo tico.

    Elaborar un informe tcnico - ejecutivo para el Gerente General de 1000 Mil Bordados, donde se especifiquen los resultados obtenidos de la prueba de intrusin realizada y las recomendaciones pertinentes.

    Idea a Defender. La aplicacin del hackeo tico se ha convertido en uno de los procesos ms aceptados a nivel internacional debido a que fortalece el nivel de seguridad de los sistemas y redes de computadoras de las empresas frente a ataques internos o externos.

    Resultados Esperados. Al finalizar esta investigacin tcnica se esperan obtener los siguientes resultados: Un documento tcnico que sirva de referente bibliogrfico del hackeo tico y sus principales metodologas. Lista de las herramientas y tcnicas difundidas en Internet, que son utilizadas con mayor frecuencia para realizar procesos de hackeo tico a redes informticas. Un informe de resultados de la prueba de intrusin realizada a la red informtica de la microempresa 1000 Mil Bordados.

    CAPTULO I
    FUNDAMENTACIN TERICA En este captulo se realiza una breve revisin de la seguridad informtica y de las amenazas ms comunes presentes en Internet, se indica de manera general el procedimiento que llevan a cabo los hackers maliciosos para introducirse de manera no autorizada a los sistemas y/o redes informticas, para definir luego al hacker tico, los tipos de pruebas que se llevan a cabo en un proceso de hackeo tico y las principales metodologas. 1.1 Seguridad Informtica. Es un proceso que se enfoca a la proteccin de los recursos informticos, hardware, software y datos, esto quiere decir que todos estos recursos se utilicen por las personas a quienes se les ha autorizado y solamente para los fines predestinados, y adems que estn libres de cualquier peligro, dao o riesgo. Para la gran mayora de expertos el trmino seguridad informtica es utpico, debido a que no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Confidencialidad: La informacin slo debe ser accesible solo para los autorizados. Disponibilidad: Debe estar disponible cuando se requiera. Es decir obtener la informacin en cualquier momento y desde cualquier lugar solo por entes y personas autorizadas, evitando de todas las formas posibles que algn tipo de incidente la indisponga.

    Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha accin. 2 Uno de los grandes inconvenientes que tienen a menudo los tcnicos de sistemas y redes de computadoras es que no cuantifican la seguridad, nicamente se limitan a su cualificacin, lo que les impide medir con exactitud, o llevar una estadstica de variacin del nivel de seguridad frente a cambios de configuracin, escalabilidad, movilidad o cambios en las polticas de seguridad y en s el aparecimiento de nuevas tecnologas que mal usadas por hackers pueden minimizar la seguridad. La seguridad informtica es un tema que debe ser manejado en las empresas con suma importancia, pues el crecimiento de los delitos informticos pone en riesgo la integridad, confidencialidad y disponibilidad de la informacin. No es extrao escuchar sobre fraudes realizados por medios electrnicos, sustraccin de datos sensibles para el negocio, servicios en la red, o cada de sistemas espionaje, indisposicin de

    provocados por algn hacker, que

    acarrean a las empresas y organizaciones la prdida de productividad, prestigio y confianza de sus clientes Este es el panorama actual a la que estn expuestas las empresas y organizaciones con infraestructura de red propia, cuyos servicios son accesibles desde el exterior, a travs de Internet o cualquier otro tipo de acceso remoto. Los delitos informticos crecen a la par de las tecnologas, y se han convertido en un problema para todas las empresas a nivel mundial. Po lo que actualmente se est tomando el tema de la seguridad informtica en su magnitud real y aplicando todas las tcnicas y herramientas necesarias para fortalecerla. En la figura 1.1 se muestra una topologa de una red informtica donde se indica como los hackers (interno o externo) pueden entrar a la red.

    WIKIPEDIA: Seguridad Informtica, Versin en espaol, 2009, http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n.

    Figura 1.1: Topologa de red con libre acceso para hackers.

    En la figura 1.1, las flechas en color rojo indican los accesos dbiles en seguridad de esta red, por donde ingresan los hackers: a travs de una VPN, consiguiendo acceso desde una conexin inalmbrica, o evadiendo un cortafuego a travs de Internet. Por otro lado un hacker interno (trabajador de la empresa) logra rpidamente su acceso escalando privilegios en la red o mediante el uso de un sniffing. Estrategias de Defensa. En esta investigacin se indican las estrategias de defensa o sistemas de proteccin mnimos que deberan estar incorporadas en toda red, para soportar cualquier ataque, estas estrategias son las siguientes: Para la seguridad fsica, se deben incorporar dispositivos de control de acceso. Para proteccin global de la red, es necesario la configuracin de cortafuegos (firewalls) de software o de hardware, y la administracin de

    sistemas de monitoreo del trfico de la red. Otra medida importante es establecer algn tipo de proteccin para los puertos abiertos y aquellos que no estn en uso deben ser cerrados. A nivel de host, se debe implementar una contrasea para la BIOS, y antivirus para los sistemas operativos en ambientes controlados desde el servidor. A nivel de aplicaciones, stas deben ser manejadas bajo la administracin de sesiones de acuerdo a roles especficos. Para la proteccin de los datos, se deben administrar ambientes de trabajo separados: desarrollo, pruebas y produccin. Las polticas de seguridad deben definir las directrices en cuanto a seguridad lgica (software, desarrollo y control de cambios, seguridad de la informacin y de las comunicaciones), gestin de la seguridad (personal, estructura y organizacin) y la seguridad fsica (acceso fsico, ubicacin y construccin de instalaciones informticas). Estas polticas deben ser difundidas y aplicadas por todo el personal. 1.2 La Sociedad de Internet. En Internet existe una sociedad virtual compuesta por individuos que transitan y actan de acuerdo a un perfil distintivo. Este perfil responde a caractersticas perfiladas precisamente por los hackers, quienes cansados de la confusin a la que son sometidos por la sociedad en general, definen a los individuos de la sociedad virtual La similitud de los hackers con el resto de grupos es su experticia, con la diferencia que cada grupo persigue un objetivo distinto. Por obvias razones muchos de los hackers se han desviado en su camino, y han dejado de pertenecer a este grupo privilegiado como lo son los hackers. Hacker. Es un experto apasionado de la informtica que tiene vastos

    conocimientos sobre computadores, redes, bases de datos, programas de computadoras y sobretodo de programacin. Su accionar responde a su curiosidad

    y sed de conocimiento. Es un incansable investigador por naturaleza y su reto principal es desafiar los lmites y las restricciones. Uno de los objetivos del hacker es poner la informacin al servicio de la comunidad en general, esto no quiere decir que se dedique a piratear programas de

    computadoras, simplemente desarrolla nuevas alternativas de libre acceso. Por su curiosidad, necesidad de explorar y superar los lmites desarrollan

    habilidades impresionantes para burlar las seguridades informticas con el nico propsito de aprender, su intencin de ninguna manera es daar o perjudicar los sistemas. Y si bien la mayora de personas solo vean en ellos lo malo de la tecnologa, no queda duda que ellos forman parte importante de la gran red de Internet, pues son ellos los nicos que la conocen perfectamente y los que siempre estn detrs de todo lo que sucede all; desde la clandestinidad buscan nuevos fallos en los sistemas remotos para poder poner a prueba sus altos conocimientos, y sentirse seguros en la gran red mundial de computadoras, Internet, personajes aun ms perjudiciales que ellos. Crackers. Usuarios destructivos, cuyo fin es crear virus, gusanos y troyanos e introducirse en sistemas remotos mediante la vulneracin de las defensas para extraer informacin importante, cuando esto sucede suele dejar huellas de visitas e incluso virus o troyanos si su intencin es volver a entrar en l. Siempre aprovecha cualquier oportunidad para demostrar al mundo que sabe ms que nadie. Ofreciendo muchas veces por Internet sus programas capaces de destruir o perjudicar los sistemas ajenos. Por esta razn se les denomina crackers, pues quebrantan los sistemas de seguridad y la filosofa del propio hacker. 3 Warezman. Se especializa en romper las claves de proteccin de un software comercial, desproteger una versin trial o de prueba y conseguir que ste no presente caducidad. Mediante un programa que parchea el archivo ejecutable del programa y de ah surge el nombre de programa crackeado. Cuando un warezman duplica el software en CD se le denomina pirata informtico.
    3

    llena de otros

    HERNNDEZ, Claudio: Los Clanes de la Red 2000, Espaa, 1999, pg. 35.

    Phreackers. Son expertos en conocimientos de telefona fija o inalmbrica insuperables. Conocen a fondo los sistemas telefnicos: tonos, enrulados, tarjetas inteligentes y el sistema GSM. Buscaneros. Son comerciantes sin escrpulos, y con mucho dinero que ven en los hackers una fuente de dinero y se dedican a ir detrs de ellos. Venden productos pirateados como tarjetas de control de acceso de canales de pago, por esta razn los bucaneros no existen en la red, pero son parte implcita de ella, contactan con el hacker copiador, compran el producto y lo revenden con un nombre comercial. Hackers Copiadores. Poseen conocimientos tcnicos informticos o electrnicos elevados y cierta habilidad psquica. Se dedican a perseguir a los hackers para hacerse amigos y posteriormente obtener la informacin que requieren, luego ponen en prctica todo cuanto han podido adivinar, conseguir y logran materializar el proyecto y lo venden a alguien que lo comercializa. Su tctica ms que a la ingeniera social obedece a una obsesin compulsiva. Su trabajo es leer y empaparse de lo que aparece en Internet o en las revistas

    tcnicas buscando a alguien que sabe, contactarlo y obtener la informacin que l busca. Gurs. Son los maestros y ensean a los futuros hackers, generalmente se trata de personas que en su poca tuvieron sus hazaas que los destacan y reconocen en el mundo hacker, ya no se hallan activos pero continan alimentndose de conocimiento y practicando; no obstante sus temas y mbitos de enseanza son limitados. Newbie. Es un novato no hace nada y aprende lentamente, necesita reiteradamente volver a revisar la informacin del sitio para poder seguir las instrucciones nuevamente. A veces se introduce en un sistema fcil y muchas veces fracasa en el intento porque es olvidadizo, simple y nada peligroso. Wannaber. Quiere ser hacker, pero sus capacidades no le permiten aprender nada aunque se esfuerza al mximo sin lograr nunca nada, una de sus virtudes es la paciencia y actitud positiva.

    Lamers. Se pueden considerar como los ms peligrosos debido a que tienen conocimientos mnimos, pero que creen que lo saben todo. Copian y usan programas y tcnicas que otros han creado, pues se dedican a conseguir programas perjudiciales y a probarlos vanaglorindose de producir daos con productos hechos por otros. Spanmers. Entran a correos electrnicos inseguros mediante programas creados por ellos mismos, lo hacen mediante el acceso a servidores de correos electrnicos y se dedican a distribuir a las direcciones obtenidas correo indeseado, generalmente con temas publicitarios. Phishing. Se enfocan a la estafa a todo nivel, esto es mediante el uso de sms (mensaje de texto de telefona), correo electrnico y sitios web sociales, como facebook, hi5, snico, entre otros. Generalmente hacen promesas de dinero multiplicado o propiedades a cambio de depsitos en cuentas, nmeros de tarjetas de crdito, dinero enviado mediante correo, pagos. Otra estrategia es simular secuestros o realizan amenazas. Piratas informticos. Se dedican a realizar copias de software crackeado en dispositivos pticos y promocionarlos por Internet, perjudicando as a los productos con copyright. Muy a pesar de todas estas definiciones que diferencian al verdadero hacker de los otros personajes de Internet, se utiliza en este documento en forma generalizada el trmino hacker, para referirse a los individuos que atacan las redes y sistemas de computadoras. El acceso a Internet es ilimitado y poco seguro, existen numerosas amenazas con distinto nivel de peligrosidad que afectan a los ordenadores, estos peligros asechan en una simple navegacin por la web, en el acceso a un correo electrnico, una transaccin financiera, o la descarga de algn producto sea programa, libro, video, msica, etc. Es decir no se puede considerar que exista un sitio con un 100% de seguridad, por ende el usuario debe protegerse.

    Las amenazas ms comunes son los virus, gusanos y caballos de Troya los cuales pueden colarse desde cualquier sitio web. Virus Informticos. Son pequeos programas de computadoras ejecutables que una vez activados cumplen de forma automtica e independiente una finalidad especificada por su creador, el virus se inserta generalmente a un programa

    comercial de rpida difusin para que logre contagiar rpidamente al mayor nmero de computadores. El ciclo de vida de un virus es contagio, incubacin, rplica y ataque. El proceso de contagio se trata simplemente de colocar el programa en la red, incrustado a un archivo de instalacin de un programa o simplemente a travs de acceso a pginas web mediante los cookies. Tambin son medios de contagio los dispositivos removibles de almacenamiento, y los correos electrnicos. La

    mayora de virus cumplen la funcionalidad de que una vez alojados en un ordenador puedan esconderse y reproducirse cumpliendo paralelamente la finalidad para la cual fueron creados. Una vez completadas ciertas condiciones especificadas por el creador el virus inicia su actividad destructiva, que pueden ir desde la simple inhabilitacin de teclas o controles como el borrado de archivos con extensiones .exe, .bat o el formateo completo del disco duro, entre otras. Las consecuencias de los virus suelen ser desastrosas y muchas veces irreparables, especialmente en un entorno empresarial. Sin embargo existen programas que contrarrestan a estos virus y son los antivirus o vacunas. Existen virus de arranque o boot que infectan el sector de arranque del disco, los virus de macro se hallan escritos en macrolenguaje de una aplicacin determinada como Word, Excel capaces de borrar textos o deshacer instrucciones, tambin estn los virus de ficheros conocidos como parsitos toman el control de los archivos ejecutables .exe, .bat, .sys,.dll, los virus polimrficos son aquellos capaces de dividirse en varias partes en distintos ficheros, son difcilmente localizables, encriptados y repartidos en decenas de archivos conforman de virus de arranque y virus de ficheros. Caballo de Troya. Son programas de tamao relativamente pequeo, que se cuelan a voluntad en el interior de otro programa ejecutable, su finalidad es obtener claves de acceso de los ordenadores, de la red o de correo electrnico. Su y los virus multiparte se

    estrategia es esconderse en un lugar indetectable del sistema sin realizar ningn tipo de modificacin o cambios, una vez que captura las claves, ste se encripta y se enva por correo electrnico adjunto. Mediante esto el creador utilizando un sniffer obtiene y decifra la clave, hay otros troyanos que desvan el mensaje a una direccin del correo electrnico del creador sin que el usuario lo note. Bombas Lgicas. Son programas diseados para daar los sistemas, que se activan despus de un tiempo llenando la memoria del computador o saturando el correo electrnico. Desafortunadamente los antivirus no detectan estos programas, sin embargo existe la opcin de optar por programas de filtrado de informacin repetida que evita que los mensajes de correo electrnico que se reenvan miles de veces lo hagan. Gusanos. Programas cuya nica misin es colapsar cualquier sistema, y son sumamente perjudiciales porque se activan sin la ayuda del usuario. Se clonan en distintos sitios del disco hasta crear miles de rplicas, que pueden destruir informacin. Se puede notar su presencia por la lentitud que presenta la red debido que en su multiplicacin saturan el ancho de banda. Spam. Es un programa con cdigo no daino pero molesto, que ejecuta una orden repetidas veces, as un mensaje de correo electrnico puede enviarse cientos de veces a una misma direccin de destino, son utilizadas generalmente por empresas publicitarias. Para eliminarlos existen los programas antispam.

    Con esto es posible deducir que Internet no es una red segura ya que contiene adems de los virus, exploits, comandos javas especiales, programas

    especializados en obtener los paquetes que transitan por las redes, detectar los puertos abiertos, etc. El chat, los canales IRC (Internet Relay Chat) suelen estar infectados de lamers que atacan con todo e interrumpen el normal fluido de informacin o lanzan bombas lgicas o virus. El correo electrnico tambin se ve perjudicado con mensaje sin sentido que lo nico que hacen es poner un troyano o un virus. El pago electrnico a travs de la red tambin est en peligro, ya que programas

    especficos interceptan las transiciones o se apropian del nmero de tarjeta para futuras compras ajenas. Sin embargo tambin es cierto que se podr navegar, a menudo, por la red sin tener problemas.

    1.3 Tipos de Ataques a los Sistemas Informticos. Debido a que la mayora de los sistemas informticos son creados y configurados para ser de fcil manipulacin para el usuario, y su enfoque inicial antes que la seguridad es la disponibilidad y funcionalidad. Todos los recursos tecnolgicos han tenido un acelerado avance, y en este lapso se han descuidado aspectos de correccin de las vulnerabilidades que los aquejan. Segn la empresa SM4RT SECURITY SERVICES, que realiza ms de 50 pruebas anuales determin que al 98% de las empresas evaluadas presentaron seales de que sus seguridades han sido vulneradas.4 Los tipos de ataques que se pueden producir son internos y externos. Los ataques internos son realizados por empleados descontentos, curiosos, otros con vastos conocimientos o personal externo y son realizados desde el interior de la red de la empresa, y los ataques externos son realizados por los hackers a travs de la Internet o mediante un acceso remoto, valindose de sus habilidades y destrezas tcnicas en la informtica. Estos ataques pueden ser mediante: Intrusiones, debido principalmente a las vulnerabilidades, malas configuraciones y arquitecturas defectuosas. Ataques internos, debido a privilegios incorrectos, cuotas inadecuadas de ancho de banda, espacios de disco, etc.

    CHAPELA, Vctor: Taller Hackeo tico, SM4RT SECURITY SERVICES, http://74.125.93.132/search?q=cache:LEvM5tr7DOUJ:unidadlocal.com/crackwifi/hackeo-etico.ppt,

    Sniffing, por intercepcin de paquetes con informacin confidencial. Correo electrnico y navegacin web, por la presencia de virus, troyanos y gusanos.

    Denegacin de Servicios: DoS (ataque de denegacin de servicio), DDoS (denegacin de servicio distribuido)

    Ingeniera social, al engaar y convencer a los empleados de las empresas a revelar informacin confidencial.

    Vulneracin de contraseas. Ataques a redes inalmbricas Ataques fsicos.

    En otro tipo de categorizacin se puede decir que los ataques pueden ser Activos y Pasivos. Los ataques activos alteran el sistema o red que estn atacando, y de esta manera afectan la disponibilidad y autenticidad de los datos, mientras que los ataques pasivos intentan obtener informacin de dicho sistema sobrepasando la brecha de confidencialidad. Los dos tipos de ataques se emplean sobre la estructura de la red y los servidores. 1.4 Proceso de Ataque de un hacker. Cada hackeo tico vara de acuerdo al sistema que se vaya a evaluar y a la metodologa que se utilice, sin embargo implcitamente todo hackeo tico sigue un esquema de fases similar. Un hacker tico ejecuta un proceso semejante al que emplea un hacker malicioso. Una generalizacin del proceso empleado por un hacker se compone de cinco fases importantes: Fase 1: Reconocimiento Fase 2: Sondeo o Bsqueda Fase 3: Obteniendo el acceso Fase 4: Manteniendo el acceso

    Fase 5: Cubriendo las huellas.

    1.4.1. Reconocimiento activo y pasivo. Es la fase de preparacin que consiste en la obtencin de informacin til relacionada con el objeto a atacar, sin conocimientos previos sobre la empresa o individuo. El reconocimiento activo implica la interaccin directamente con el objetivo de ataque a travs de cualquier medio, es decir probar la red para descubrir servidores, direcciones IP y servicios en la red, este proceso tiene un mayor riesgo de deteccin que un reconocimiento pasivo. Este ltimo involucra obtener informacin sin interactuar directamente con objetivo de ataque. Durante esta fase se realizan bsquedas en internet, ingeniera social, bsquedas en la basura, sniffing, etc. Se dice que un hacker utiliza el 90% de su tiempo en perfilar la seguridad de la organizacin y el 10 % en ejecutar el ataque. 1.4.2. Sondeo o Bsqueda. Es la fase de pre-ataque donde el hacker utiliza la informacin obtenida en la fase 1 para examinar la red en esta fase se utilizan: escner de puertos, mapeadores de red, y escner de vulnerabilidades, para detectar sistemas vivos en la red, descubrir puertos activos, sistema operativo, servicios ejecutndose y presentes en el sistema, descubrimiento de direcciones IP. 1.4.3. Obteniendo el acceso. Esta es la fase donde ocurre el hackeo real y las vulnerabilidades descubiertas durante las fases anteriores son explotadas para obtener acceso y escalar privilegios hasta obtener acceso como administrador, para lo cual se puede usar cualquier tipo de conexin como LAN o inalmbrica, acceso local a una PC, Internet u Offline (fuera de lnea). Se emplea desbordamiento de buffer, denegacin de servicio (DoS), cracking de contraseas o secuestro de sesiones. Se trata de la fase ms crtica, pues es donde un hacker puede perjudicar la red o sistema y apoderarse de informacin confidencial. 1.4.4. Manteniendo el acceso. Una vez que el hacker ha obtenido el acceso, ste quiere ser mantenido para futuros ataques y explotaciones, convirtindolo en un sistema zombi, dnde puede subir, bajar y alterar programas, archivos datos y

    configuraciones, entrar y salir a conveniencia. Para ello aplicar tcnicas que le permitan mantenerse indetectable, mediante el uso de puertas traseras, herramientas de administrador y troyanos. 1.4.5. Cubriendo las huellas. Una vez obtenido y mantenido el acceso, el hacker procede a borrar las evidencias de su penetracin, y as evitar la deteccin por parte del personal tcnico, para lo cual utilizan esteganografa, protocolos con tneles, y alteracin de archivos de registro. 1.5 Hacker tico. Es un profesional experto en seguridad informtica que mediante distintas tcnicas y herramientas usadas por los hackers, ataca sus propios sistemas u otros

    sistemas en nombre de sus propietarios para detectar debilidades en la seguridad de la infraestructura informtica y elaborar un informe de las vulnerabilidades detectadas. Usa sus conocimientos con fines defensivos, para evaluar la seguridad de la red, y se enmarca dentro de aspectos legales. Por supuesto que para esto el hacker tico debe poseer un profundo conocimiento de todos y cada uno de los mecanismos que hacen posible el funcionamiento de los sistemas y redes de computadoras. 1.5.1. Perfil del Hacker tico. Un hacker tico debe poseer las siguientes caractersticas: Ser competente en programacin, software y hardware, y ser altamente tcnico para lanzar ataques sofisticados. Conocimiento actualizado de las vulnerabilidades en los sistemas. Conocer a fondo las tcnicas de hackeo. Seguir un estricto cdigo de tica. Tener un profundo conocimiento de la configuracin y administracin de plataformas como Windows, Unix y Linux. Conocimiento y habilidad en redes de computadoras sobretodo los temas de las reas de seguridad y sus problemas relacionados.

    Habilidad en la generacin de reportes, para que presente al cliente un reporte tcnico por escrito.

    1.5.2.

    Clases de Hacker tico.

    Los hackers son profesionales de la seguridad informtica comprometidos en evaluar las amenazas que presentan la infraestructura informtica de las empresas y organizaciones, poseen grandes habilidades tcnicas e informticas, y son confiables. Los hackers ticos se clasifican en: 1.5.1. Sombreros Negros Reformados (Reformed Black Hats). Son un conjunto de crackers reformados, que han cambiado su estilo de atacar los sistemas para daarlos a atacar los sistemas pero para brindarles seguridad, y por su anterior trayectoria saben dnde y como encontrar la informacin que requieren para ejecutar un ataque igual que lo hicieran los propios hackers. Sin embargo su credibilidad es baja por obvias razones. 1.5.2. Sombreros blancos (White Hats). Tienen habilidades de los verdaderos hackers y las utilizan para defender los sistemas, son los profesionales de seguridad informtica. Son los hackers ticos. 1.5.3. Empresas de Consultora (Consulting Firms). Son empresas de servicios de seguridad informtica, que ofrecen garantizar o mejorar la seguridad de los sistemas y redes informticas de terceros. 1.6 Hackeo tico. Tambin conocido como anlisis de penetracin, prueba de intrusin o penetracin o asesora de vulnerabilidades. Es la combinacin pruebas, tcnicas y herramientas que se utilizan para realizar una deteccin integral de las debilidades de los sistemas informticos. Consiste en un proceso que realiza intentos de acceso a cualquier entorno informtico desde los distintos puntos de ingreso que existan, sean stos internos o remotos, sin conocer o tener indicios de la infraestructura informtica. Su xito radica en poder ver informacin secreta, obtener permisos de escritura en un dispositivo aparentemente seguro, evitar un

    control de auditora, anular las distintas caractersticas de seguridad, alterar el funcionamiento normal de algn dispositivo, en resumen introducir un riesgo en la seguridad. Se diferencia de la auditoria de seguridad porque esta ltima realiza un anlisis exhaustivo de la seguridad donde deben recorrer todos los caminos, analizar todas las puertas de entrada (generalmente puertos), recopilar todas las evidencias y evaluar el riesgo de cada una de ellas, y el auditor dispone de toda la informacin disponible y de las diferentes credenciales para poder auditar la seguridad de la organizacin haciendo uso de los distintos perfiles de usuarios existentes. En cambio el test de intrusin, parte desde el mismo punto que partira un atacante real, sin informacin previa en la mayora de los casos. De esta manera se puede identificar con mayor fiabilidad la cantidad de dao que podra hacerse a la infraestructura informtica. Generalmente esta tarea de hackeo tico lo realizan preferentemente profesionales externos o empresas que ofrecen este servicio, para evitar problemas como la parcialidad, falta de habilidades, inexperiencia y carencia de herramientas necesarias. Lo que conlleva por otro lado a asegurarse de que el personal contratado para este fin sea confiable, experto y experimentado; muchas veces demostradas con certificaciones reconocidas e historial. 1.6.1. Objetivos del Hackeo tico. Los objetivos del proceso de hackeo tico se podran resumir en las siguientes lneas: Evaluar la preparacin de la empresa o institucin para resistir y/o detectar un ataque dirigido, sea ste externo o interno y fortalecer la seguridad de los Sistemas de Informacin. Acceder a los ordenadores de la organizacin, con permisos de sus propietarios, mediante un anlisis que intenta obtener los privilegios de un administrador del sistema.

    Detectar debilidades y vulnerabilidades de la infraestructura de las tecnologas de informacin de las organizaciones, y elaborar informes.

    Proporcionar mayor proteccin y fiabilidad a los sistemas de informacin de las empresas.

    1.6.2. Herramientas del Hackeo tico. Sin innumerables las herramientas y tcnicas que los hackers ticos deben conocer y utilizar para obtener informacin de un objetivo de evaluacin (red o sistema informtico). Algunas de estas herramientas son: Footprinting. Es el anlisis del perfil de la seguridad informtica de la empresa mediante la obtencin de informacin crtica, como nombre del dominio, direcciones de red y aplicaciones instaladas, arquitectura del sistema, IDS, mecanismos de control de acceso, datos personales de los empleados, etc. esta informacin es indagada en Internet. En esta fase se define la estrategia o metodologa que el atacante usar para efectuar el hackeo. Las herramientas utilizadas son: base de datos WHOIS, DNS Stuff, nsloockup, traceroute, ping, email Hunter, newsGroupExplorer,email Logger, BackTrack, etc. Scanning (Escaneo). Es la recopilacin de informacin a manera de inventario de las vulnerabilidades, generalmente se realiza un escaneo de puertos asociados a los servicios que estn corriendo, que ayuda a planificar la estrategia para el ingreso al sistema. En la tabla 2.1 se enlistas los puertos ms conocidos. Puerto 20-21 22 23 25 53 69 80 110 135 162-162 1433-1434 Servicio FTP SSH Telnet SMTP DNS TFTP HTTP POP3 RPC SNMP MSSQL Protocolo TCP TCP TCP TCP TCP/UDP UDP TCP TCP TCP UDP TCP

    Tabla 2.1: Principales puertos y su servicio

    Existen 65535 puertos para TCP y UDP, de los cuales solo se suelen utilizar los 1024 primeros puertos. El atacante se colar por los puertos abiertos. Las herramientas que realizan este proceso son: ping, NetScan, Nmap, Super Scan, SSS (Shadow Security Scanner), BackTrack, NsAuditor, Nessus, ISS Scanner entre otros. Enumeration (Enumeracin). Es la identificacin de cuentas y grupos vlidos de usuario, recursos compartidos de red, tablas de enrutamiento, informacin del SNMP. Se enfoca a conexiones activas y dirigidas a un equipo especfico, para lo cual se suelen respaldar en los logs, NAT (Network Address Traslation), BackTrack, Enum, UserInfo, SNMPutil, Advanced IPScan, etc. Hackeo (Ataque). El hacker ingresa al sistema, para lo cual el hacker tico debe contar con el consentimiento del propietario de o representante de la empresa. El hacker trata de autenticarse remotamente con una cuenta de altos privilegios mediante la prediccin de nombres de cuentas y contraseas, u obtencin de archivos hash de contraseas, o utilizando un exploits y keyloggers (grabadores de impulsos del teclado). Se utilizan herramientas como: John the Ripper, keyloggers, Cain & Abel, Kismet, Aircrack (en redes inalmbricas). Los hackers tambin utilizan rootkits, virus, troyanos, sniffers o scripts elaborados por ellos mismos. 1.7 Tipos de Pruebas de Hackeo tico. Hay diferentes formas de pruebas de seguridad, por ejemplo, escaneo de vulnerabilidades, y hackeo tico o pruebas de penetracin. Las pruebas de hackeo tico ms comunes son: Pruebas de Intrusin Externa o de Caja Negra, Pruebas de Intrusin Interna o de Caja Blanca y Pruebas de Intrusin Hbrida o de Caja Gris. Caja Negra. Es una prueba que se realiza sin ningn conocimiento previo de la infraestructura objetivo, consiste en acceder de forma remota a los servidores de la organizacin y obtener permisos o privilegios que no deberan estar disponibles. Se

    emplean tcnicas de ingeniera social para obtener informacin que se utilizar para intentar entrar. El objetivo de esta prueba es determinar hasta dnde puede llegar un hacker que est poco o casi nada familiarizado con la infraestructura tecnolgica informtica de la empresa. Este es un proceso laborioso y complejo que requieren un buen nivel de preparacin y experimentacin del hacker tico caso contrario en el proceso se puede daar los sistemas y dejarlos inoperables, lo que podra pasar en un ataque real. Se realiza la verificacin de la seguridad del permetro, anlisis externo de nodos y topologa, recopilacin de la informacin sensible mediante la ingeniera social, revisin y efectividad de vulnerabilidades de aplicaciones web, servidores web y de correo, ruteadores y cortafuegos, identificacin de accesos inalmbricos

    desprotegidos o poco protegidos, deteccin de mdems abiertos. Una vez conseguido el acceso remoto al sistema se escanean las debilidades para escalar privilegios y profundizar en la red. Caja Blanca. Es una prueba que se realiza con un conocimiento completo de la infraestructura de red objetivo de prueba, en esta prueba se trata de determinara hasta donde se puede llegar con los privilegios de un usuario comn dentro de la organizacin. Para poner en marcha esta prueba es necesario solamente una estacin de trabajo de la empresa, un nombre de usuario comn y su clave de acceso. Su objetivo es identificar que es lo que puede suceder un da cotidiano de labores, con un usuario que tiene acceso cdigo fuente, diseos de la arquitectura de la red, y posiblemente algunas contraseas. Se trata de un proceso sencillo, casi automtico que no requiere mayores exigencias de parte del hacker tico e incluye: anlisis interno de nodos y topologa, identificacin de sistemas y equipos vulnerables, revisin de vulnerabilidades de: aplicaciones internas, servidores, dispositivos y equipos en la red interna, redes y equipos inalmbricos, relaciones de confianza, directorios compartidos, arquitectura de la red, nivel de seguimiento de los servidores. Caja Gris. Es una breve variacin entre las pruebas de penetracin de Caja Blanca y Caja Negra, es una prueba que examina el grado de acceso de personas con informacin privilegiada dentro de la red.

    Las empresas que se dedican a realizar pruebas de penetracin, luego de analizar las necesidades del cliente, las enfocan en las siguientes perspectivas:5 Pruebas de intrusin con objetivo: se busca las vulnerabilidades en componentes especficos de los sistemas informticos que son de mayor importancia para la empresa. Pruebas de intrusin sin objetivo: a diferencia de la prueba de penetracin con objetivo esta prueba examina la totalidad de los componentes en los sistemas informticos presentes en la empresa. Pruebas de intrusin ciega: se utiliza nicamente la informacin pblica disponible sobre la empresa. Esta prueba de penetracin trata de simular los ataques de un ente externo a la empresa. Pruebas de intrusin informada: se utiliza informacin privada, otorgada por la empresa, sobre sus sistemas informticos. Esta prueba de penetracin trata de simular ataques hechos por un ente interno a la empresa y con cierto grado de informacin privilegiada. Pruebas de intrusin externa: se realiza de manera externa a las instalaciones de la empresa. La motivacin de esta prueba es evaluar los mecanismos perimetrales de seguridad informtica de la empresa. Pruebas de intrusin interna: es realizada dentro de las instalaciones de la empresa con el motivo de probar las polticas y los mecanismos internos de seguridad de la empresa. El resultado de este servicio le brinda al cliente un documento con una lista detallada de las vulnerabilidades encontradas y certificadas (eliminacin de falsos positivos). Adicionalmente el documento provee una lista de recomendaciones aaplicar, sobre la cual los responsables de seguridad de la organizacin pueden apoyar su programa de control.

    MENNDEZ, Maikel y BOLUFE Mallelin: Hacking tico. Test de intrusin. Principales La Habana, 2009, metodologas, http://www.monografias.com/trabajos59/etica-hacker/etica-hacker.shtml.

    Este proceso es importante realizarlo varias veces durante el ao, en funcin de que la tecnologa evoluciona constantemente y que las personas que manipulan los sistemas informticos tambin cambian. La seguridad de una organizacin es un aspecto cambiante. Una empresa puede alcanzar un nivel de proteccin ptimo en un momento determinado y ser totalmente sensible poco despus, tras cambios en la configuracin de un servidor o tras la instalacin de nuevos dispositivos de red. Al mismo tiempo, continuamente aparecen nuevos fallos de seguridad en software existente, que previamente se crean seguros. Una poltica de realizacin de pruebas de penetracin peridicas mitiga, en gran medida, el riesgo asociado a un entorno en constante cambio, tal como lo representan los sistemas informticos de cualquier compaa.6 1.8. Metodologas del Hackeo tico.

    Para realizar un hackeo tico de manera lgica y ordenada existen metodologas que aunque no estn formalmente establecidas como estndares, brindan lineamientos a seguir en una prueba de penetracin, las ms aceptadas lo son debido a su transparencia, claridad y porque son Open Source, y stas son: OSSTMM (Manual de Metodologa Abierta de Evaluacin de Seguridad) de ISECOM (Information Security and Open Methodologies) OWASP (Proyecto de Seguridad Abierta de Aplicaciones Web) ISSA (Information Security System Assessment Framework) de OISSG (Open Infornation System Security Group). Estas metodologas contienen muchos puntos en comn, pero difieren en la manera de hacer las cosas. En el marco internacional OSSTMM es una de las ms utilizadas, se la considera una de las metodologas ms completas. A pesar de la existencia de estas metodologas cada prueba de intrusin que se realiza es distinta del resto. Los dispositivos que conforman una red, mquinas,
    6

    MENNDEZ, Maikel y BOLUFE Mallelin: Hacking tico. Test de intrusin. Principales metodologas, http://www.monografias.com/trabajos59/etica-hacker/etica-hacker.shtml, 2009

    versiones, servidores, protocolos, etc. no son nunca iguales en dos redes. De ah que cada uno sea un arte distinto y de que no exista ninguna herramienta que haga por s misma una prueba de intrusin completa fiable. 1.8.1. OSSTMM (Manual de la Metodologa Abierta de Comprobacin de Seguridad). Su primera versin fue lanzada en el 2001 actualmente se halla en la versin 3.0, su creador es Peter Herzog, de ISECOM (Instituto para Seguridad y Metodologas Abiertas) es un manual gratuito y bajo licencia Creative Commons. Es un estndar profesional para la evaluacin de seguridad en cualquier entorno desde el exterior al interior, explica los pasos a seguir, cuando se debe analizar cada una de las reas que propone. Estas reas involucran desde la seguridad de la empresa desde Internet hasta la seguridad fsica de los accesos a las instalaciones, pasando por tcnicas de ingeniera social, incluye tambin plantillas de los resultados concretos de cada apartado para el cliente. El cliente es la entidad (empresa, organizacin, institucin o persona) que contrata los servicios de hackeo tico de una empresa que se dedica a prestar este servicio o de un profesional de seguridad informtica. Esta metodologa se limita a la evaluacin de seguridad puramente externo, es decir, comprueba la seguridad desde un entorno no privilegiado hacia un entorno privilegiado, para ganar acceso privilegiado evadiendo los componentes de seguridad, procesos y alarmas. En la figura 1.2 se muestra el Mapa de Seguridad, en el cual se visualizan las secciones que componen esta metodologa, las secciones se superponen y necesitan de su elementos entre s, de forma directa o indirecta. Adems indica de forma transversal y simple como todo est relacionado en el negocio: los sistemas de informacin, procesos, etc., y todo est fundamentado en la seguridad fsica.

    Figura 1.2: Mapa de Seguridad de OSSTMM

    OSSTMM muestra el camino para chequear todas las acciones que aseguren el cumplimiento regulatorio, legal y las polticas corporativas, las credenciales del profesional a cargo de la evaluacin, la presentacin de los resultados, los tiempos que deberan ser empleados en cada una de las tareas, incorpora el concepto de RAVs (Valores de Evaluacin de Riesgo) y la frecuencia de ejecucin de la evaluacin, sin dejar de lado otros aspectos como el hackeo a redes inalmbricas o la seguridad en las comunicaciones. La metodologa se divide en 6 secciones, en las cuales es posible identificar una serie de mdulos de pruebas especficas, a travs de las cuales es posible determinar las dimensiones del alcance de seguridad, y las tareas a llevar a cabo en los diferentes puntos de revisin. Estas secciones son: Seguridad de la Informacin (presencia en Internet de cualquier tipo de informacin de una entidad). Seguridad en los procesos (ingeniera social, sugerencia) Seguridad en Tecnologas de Internet: IDS (Sistema de deteccin de intrusiones), cortafuegos, pruebas de router, DOS (Denegacin de Servicios), contraseas vulneradas, etc. Seguridad de las comunicaciones (Mdem, FAX, PBX, etc.)

    Seguridad Inalmbrica (TEMPEST, 802.11, bluetooth, infrarrojos, etc.) Seguridad Fsica (permetro de seguridad, alarmas de seguridad, control de accesos, estudio del entorno, etc.).

    En el ANEXO 1, se encuentran las prcticas recomendadas por OSSTMM como seguridad perfecta. Secciones y Mdulos. La metodologa est dividida en secciones, mdulos y tareas. Las secciones son puntos especficos en el mapa de seguridad que se superponen entre si y permiten descubrir un todo que es mucho mayor a la suma de sus partes. Los mdulos son el flujo de la metodologa desde un punto de presencia de seguridad hacia otro. Cada mdulo tiene una salida y una entrada. La entrada es la informacin usada en el desarrollo de cada tarea. La salida es el resultado de las tareas completadas. Las salidas pueden o no ser datos analizados para servir como entrada para otro mdulo. Incluso puede ocu0rrir que la misma salida sirva como entrada para ms de un mdulo o seccin. Algunas tareas no generan resultados, es decir hay mdulos para los cuales no hay entrada, los cuales pueden ser ignorados durante el anlisis, lo cual no se convierte en un anlisis inferior. Los mdulos que no generen salida como resultado, pueden ser debido a que las tareas no fueron ejecutadas apropiadamente, no se aplicaban, o revelaron niveles superiores de seguridad. Cada mdulo tiene una relacin con el mdulo inmediatamente anterior y con el inmediatamente posterior. Cada seccin tiene aspectos interrelacionados a otros mdulos y algunos se interrelacionan con todas las otras secciones. Las secciones son el modelo total de seguridad dividido en porciones manejables y analizables. El mdulo requiere una entrada para ejecutar las tareas del mdulo y de otros mdulos en otras secciones. Las tareas son las pruebas de seguridad a ejecutarse dependiendo de la entrada del mdulo. Los resultados de las tareas pueden ser inmediatamente analizados para actuar como un resultado procesado o

    se pueden dejar sin analizar. De cualquier modo, estos son considerados la salida del mdulo. En la figura 2.2 se muestra como se relacionan los mdulos y tareas.

    Figura 1.3: Mdulo de Evaluacin y Tareas de OSSTMM

    1.8.1.1. Seccin A: Seguridad de la Informacin. Es el proceso de obtencin de todo tipo de informacin pblica sobre la organizacin. Es el punto de partida de la evaluacin de seguridad, ya que mediante los datos recolectados, se proceden a las siguientes secciones. Revisin de la Inteligencia Competitiva. La Informacin Competitiva (IC) es la informacin recolectada a partir de la presencia en Internet que puede ser analizada con inteligencia de negocio, es no invasiva y discreta. El objetivo es conocer el alcance y tamao de la presencia en Internet y de las polticas de seguridad proyectadas a futuro. Las tareas asociadas son: Realizar un mapa y medir la estructura de directorio de los servidores web, y servidores de FTP (File Transfer Protocol). Examinar la base de datos WHOIS para los servicios de negocio relacionando los nombres de hosts registrados.

    Determinar el costo de TI de la infraestructura de Internet basados en SO (Sistema Operativo), Aplicaciones y Hardware. Determinar el costo de soporte de la infraestructura basado en

    requerimientos salariales de los profesionales de TI (Tecnologas de la Informacin), puestos de trabajo, cantidad de personal, currculos publicados y responsabilidades. Medir el entusiasmo (respuesta) de la organizacin basndose en grupos de noticias, tableros web, y los sitios de respuesta de la industria. Registrar el nmero de productos que se vendidos electrnicamente Registrar el nmero de productos encontrados en orgenes P2P, sitios wares, cracks disponibles para las versiones, y la documentacin tanto interna como de terceras partes de los productos. Revisin de la Privacidad. Es el punto de vista legal y tico del almacenamiento, transmisin y control de los datos basados en la privacidad del cliente y del empleado. El uso de estos datos es la preocupacin de muchas personas. Las tareas de este mdulo son: Comparar pblicamente la poltica accesible con la prctica actual. Comparar la prctica actual con el fraude regional y las leyes de privacidad o cumplimiento. Identificar el tipo y tamao de la base de datos. Identificar los datos almacenados por la organizacin y la ubicacin de almacenamiento de los datos. Identificar los tipos, fechas de expiracin, mtodos de encriptacin e informacin almacenada en las cookies. Identificar la ubicacin del servidor de errores del web.7

    Se espera obtener una lista cualquier revelacin, y de fallas entre poltica pblica y la poltica actual

    ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad, 2003: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, pg. 38.

    Recoleccin de Documentos. La cantidad de tiempo designado para la bsqueda y extraccin de la informacin depende del tamao de la organizacin, el mbito del proyecto, y de la longitud de tiempo planeado para el hakeo tico. Las actividades a efectuarse son: Examinar las bases de datos web y los cach de motores de bsqueda. Investigar personas claves va pginas personales, currculos publicados, afiliaciones organizacionales, compaas, y el registro electoral. Recopilar direcciones de email y referencias y publicaciones de la organizacin y direcciones personales de personas claves. Buscar en las bases de datos laborales por niveles tecnolgicos requeridos necesarios que tiene la organizacin. Buscar en los documentos cdigos ocultos o revisiones de datos. Examinar referencias y publicacin de redes P2P de la organizacin y personas claves. Con la ejecucin de estas actividades se podr obtener un perfil de la informacin de directorios, datos de

    organizacin, empleados, socios alianzas y estrategias, y una idea de las tecnologas utilizadas. 1.8.1.2. Seccin B: Seguridad de los Procesos. Se encarga de la evaluacin la tendencia de las personas a revelar informacin del negocio mediante el uso de tcnicas de ingeniera social, para proceder en esta seccin se utiliza la informacin obtenida en la seccin A referente al personal. Evaluacin de Peticiones. Permite obtener privilegios de acceso a una organizacin y a sus activos preguntando al personal de la entrada mediante el uso de las comunicaciones como un telfono, e-mail, chat, boletines, etc. Las tareas que deben realizarse en este mdulo son: Seleccionar una persona de la entrada y examinar los mtodos de contacto.

    Obtener informacin acerca esa persona (posicin, hbitos, preferencias). Contactarla mediante algn medio de comunicacin, solicitarle informacin hacindose pasar por una autoridad o persona de posicin privilegiada y obtener la informacin requerida.

    Al culminar esta evaluacin se espera conseguir una lista de cdigos de acceso vlidos y datos de las personas de la entrada. Evaluacin de Sugerencia Dirigida. Este es un mtodo que provoca a hablar al personal usando los medios de

    comunicacin como telfono, e-mail, chat, boletines, etc. hacia afuera de la organizacin, utilizando para esto: una pgina web, una direccin de e-mail., un foro, sesin de chat, etc. Las actividades para este mdulo son: Seleccionar una persona o personas y examinar sus mtodos de contacto. Invitar a las personas a usar / visitar una ubicacin. Obtener informacin de los visitantes. Enumerar los tipos y cantidad de informacin privilegiada obtenida.

    Se enfoca a obtener una lista de los puntos de acceso y direcciones IP internas. Evaluacin de las Personas Confiables. Este es un mtodo que usando una posicin de confianza como la de un empleado, vendedor, socio o hija de un empleado induce a la persona interna a revelar informacin. Este mdulo puede ser realizado mediante cualquier forma de comunicacin o en persona. Las tareas a realizarse son: Seleccionar una persona o personas y examinar sus mtodos de contacto. Contactar a la persona interna desde una posicin de confianza. Obtener informacin de la persona interna.

    Se espera obtener una lista de las personas de confianza y las posiciones que ocupan en la jerarqua organizacional. 1.8.1.3. Seccin C: Seguridad en las Tecnologas de Internet. Se enfoca a la evaluacin de la infraestructura informtica expuesta en Internet. Logstica y Controles. El propsito de este mdulo es reducir los falsos positivos y negativos realizando los ajustes necesarios en las herramientas de anlisis.8 Examinar la ruta a la red objetivo en busca de paquetes TCP, UDP e ICMP perdidos. Medir la latencia a travs de conexiones TCP, el porcentaje de paquetes aceptados y respondidos por la red objetivo y la cantidad de paquetes perdidos o rechazos de conexin en la red objetivo. Examinar el camino de enrutamiento al objetivo desde los sistemas de ataque hacia el ISP del objetivo y para el Vendedor de Trafico Principal del ISP objetivo. Sondeo de Red. El sondeo de red sirve como introduccin a los sistemas a ser analizados. La clave es encontrar el nmero de sistemas alcanzables que deben ser analizados, sin exceder los lmites legales de lo que se quiere analizar. En este mdulo, no se realiza ningn tipo de intrusin. Se espera obtener nombre de dominio, de servidores, direcciones IP, mapa de la red, informacin del ISP/ASP, propietario del sistema y del servicio, y las limitaciones del hackeo tico. Las tareas a realizarse en este mdulo se especifican en la tabla 2.2.

    ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad, 2003: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, pg. 46.

    Tabla de las Actividades para el Sondeo de la Red


    Respuestas del Servidor de Nombres. Examinar la informacin del registro de dominio en busca de servidores Consultar los servidores de nombres primario, secundario y del ISP en busca de hosts y subdominios Examinar pistas de la organizacin a analizar. Inspeccionar los logs del servidor web y los logs de intrusin en busca de eventos de los sistemas de la organizacin a analizar. Inspeccionar mensajes de grupos de noticias y listas de distribucin en busca de eventos de los sistemas de la organizacin a analizar Filtracin de informacin. Examinar el cdigo fuente y scripts del servidor web en busca de servidores de aplicacin y enlaces internos. Examinar las cabeceras de los correos electrnicos, los mensajes devueltos y los destinatarios de las alertas y eventos del sistema de los servidores Buscar informacin sobre la organizacin a analizar en los grupos de noticias
    Tabla 2.2: Actividades para el Sondeo de la Red

    Identificacin de los Servicios de Sistemas. En este mdulo se deben enumerar los servicios de Internet activos o accesibles as como traspasar el firewall con el objetivo de encontrar ms mquinas activas. La evaluacin de los diferentes protocolos depender del tipo de sistema. Al concluir las actividades de la tabla del ANEXO 2 se espera conocer los puertos abiertos, cerrados y filtrados, las direcciones de los sistemas activos,

    direccionamiento de los sistemas de la red interna, una lista de los protocolos descubierto de tunelizado y encapsulado, tipo de sistema operativo, y los parches de las aplicaciones y del sistema operativo. Bsqueda y verificacin de Vulnerabilidades. Permite la identificacin, comprensin y verificacin de debilidades, errores de configuracin y vulnerabilidades en un servidor o en una red. La investigacin concerniente a la bsqueda de vulnerabilidades es necesaria hasta prcticamente el momento de la entrega del informe. Esta investigacin incluye la bsqueda en bases de datos online y listas de correo relativas a los sistemas y redes que se

    estn auditando. No se debe limitar la bsqueda a la web, tambin se debe considerar la utilizacin del IRC, grupos de noticias, y sitios FTP underground.
    9

    La bsqueda de vulnerabilidades utilizando herramientas automticas es una forma eficiente de determinar agujeros de seguridad existentes. Las tareas asociadas a este mdulo se enumeran en la tabla 2.3. Tabla deTareas de la Bsqueda y verificacin de vulnerabilidades
    TAREAS Integrar en las pruebas realizadas los escneres, herramientas de hackeo y exploits utilizados actualmente. Medir la organizacin objetivo utilizando herramientas de escaneo habituales actualmente. Intentar determinar vulnerabilidades por tipo de aplicacin y sistema. Realizar pruebas redundantes al menos con 2 escneres automticos de vulnerabilidades. Identificar todas las vulnerabilidades relativas a las aplicaciones y sistemas operativos Verificar todas las vulnerabilidades encontradas durante la fase de bsqueda de exploits con el objetivo de descartar falsos positivos y falsos negativos.
    Tabla 2.3: Tareas de la Bsqueda y verificacin de vulnerabilidades.

    Evaluacin de Aplicaciones de Internet. Emplea diferentes tcnicas de evaluacin de software para encontrar fallos de seguridad en aplicaciones cliente/servidor de un sistema desde Internet. Ver en el ANEXO 3, las tareas relacionadas a la evaluacin de aplicaciones web. En este mdulo se espera obtener una lista de las aplicaciones web, de sus componentes y de sus vulnerabilidades. Evaluacin de Routers. Las protecciones de un router son defensas que se encuentran frecuentemente en una red donde se restringe el flujo del trfico entre la red de la empresa e Internet. Opera bajo una poltica de seguridad y usa ACL's que aceptan o deniegan paquetes.
    9

    ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, 2003, pg. 56

    Este mdulo est diseado para asegurar que solo aquello que debe ser expresamente permitido, puede ser aceptado en la red; todo lo dems debe ser denegado. Las actividades que deben realizarse son: Verificar el tipo de router y si el router est dando servicio de traduccin de direcciones de red (NAT). Evaluar la ACL del firewall en contra de las polticas de seguridad y en contra de la regla "Denegar Todo". Verificar la configuracin de las ACL's del router. Evaluar las capacidades externas del router desde el interior. Cuantificar la habilidad que tiene el router para manejar fragmentos de paquetes muy pequeos, y paquetes grandes. Evaluacin de Control de Acceso. El firewall controla el flujo del trfico de la red corporativa, la DMZ, e Internet. Opera bajo una poltica de seguridad y usa ACL's. Este mdulo est diseado para asegurar que solo lo que debe estar expresamente permitido puede ser aceptado dentro de la red, todo lo dems debe ser denegado. Las tareas que deben realizarse son: Determinar el xito de los mtodos de identificacin del firewall a travs de distintos paquetes de respuesta. Verificar la posibilidad de escanear para enumeracin usando puertos orgenes especficos o tcnicas ocultos SYN. Cuantificar la habilidad del cortafuego para manejar fragmentos de paquetes diminutos. Evaluar la habilidad del firewall para manejar series de paquetes SYN entrantes (inundacin) y responder a paquetes con la bandera RST activada. Evaluar el mantenimiento del firewall con paquetes UDP estndar. Cuantificar la robustez del firewall y su susceptibilidad a los ataques de denegacin de servicios con conexiones TCP ininterrumpidas, temporales o con datagramas UDP.

    Cuantificar la respuesta del firewall a todos los tipos de paquetes ICMP.

    Evaluacin de Sistema de Deteccin de Intrusos (IDS). Se enfoca al rendimiento y susceptibilidad de un IDS. Algunas de estas pruebas estn relacionadas con ataques de ancho de banda, saltos distantes, y latencia. Es necesario repasar los registros del servidor para verificar las pruebas realizadas desde Internet, especialmente en los casos donde el resultado de stos no es inmediatamente evidente para el hacker tico. Las actividades a desarrollar son: Verificar el tipo de IDS y determinar la esfera de proteccin o influencia. Probar los estados de alarma y los parmetros de sensibilidad de las firmas pasado 1 minuto, 5 minutos, 60 minutos, y 24 horas. Probar la configuracin del IDS para reacciones mltiples, ataques variados (inundacin), URLs manipuladas y rutinas de explotacin. Probar el IDS para reacciones ante cambios de velocidad al enviar paquetes, cambios aleatorios de velocidad durante un ataque, cambios aleatorios de protocolos durante un ataque, cambios aleatorios de origen durante un ataque, cambios de puerto de origen. Encontrar alertas de IDS sobre escaneos de vulnerabilidades y descifrado de contraseas. Evaluacin de las Medidas de Contingencia. Las medidas de contingencia imponen el manejo de lo susceptible, programas maliciosos y emergencias. La identificacin de los mecanismos de seguridad y las polticas de respuesta que necesiten ser examinados. Debe ser necesario responder primero a una nueva cuenta de correo electrnico de pruebas o al sistema de escritorio donde el administrador pueda monitorizar. 10 Medir el mnimo de recursos necesarios que se necesitan en el susbistema para realizar las tareas.

    10

    ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, 2003, pg. 63.

    Verificar la deteccin de medidas presentes para la localizacin de intentos de acceso a los recursos protegidos. Verificar recursos innecesarios y las propiedades del sistema de contingencia. Medidas de configuracin del sistema. Descifrado de contraseas. Descifrar las contraseas es el proceso de validar la robustez de una contrasea a travs del uso de herramientas de recuperacin de contraseas automatizadas, que dejan al descubierto implementaciones incorrectas de algoritmos criptogrficos, o contraseas dbiles debido a factores humanos. Este mdulo no debe ser confundido con el de recuperacin de contraseas va escucha de texto por canales libres. Este mdulo puede incluir tcnicas para averiguar manualmente las contraseas, que explote los usuarios y contraseas por defecto en aplicaciones o sistemas operativos o fcilmente predecibles. Este puede ser un sistema para obtener acceso a un sistema inicialmente, quiz sea siempre con acceso de administrador o root, pero solo con fines educativos. Ms all de la predictibilidad manual de las contraseas, a travs de combinaciones por defecto o simples, se puede hacer fuerza bruta de contraseas para aplicaciones como Telnet, usando scripts o

    programas personalizados. Obtener el fichero de contraseas desde el sistema que guarda nombres de usuario y contrasea. En Unix, autenticaciones SMB, puede /etc/passwd o/y /etc/shadow, y para las contraseas de NT en

    encontrar

    /etc/smbpasswd. Para sistemas NT, ha de estar en /winnt/repair/Sam._ (u otra, ms difcil de obtener variantes). Enviar un ataque automatizado de diccionario al fichero de contraseas. Ejecutar un ataque de fuerza bruta al fichero de contraseas. Usar contraseas obtenidas o sus variaciones para acceder a sistemas o aplicaciones adicionales. Arrancar programas automatizados de descifrado en ficheros cifrados que haya encontrado (como documentos PDF o Word) como intento de recopilar

    ms datos y subrayar la necesidad de un cifrado del sistema o de documentos ms fuerte. Verificar la edad de las contraseas. Evaluacin de Denegacin de Servicios (DoS). Es una situacin intencionada o accidental, que evita que el sistema cumpla con una funcionalidad especfica o niegue el acceso a un servicio. Es muy importante recibir ayuda adicional de la organizacin y sea monitorizada a nivel privado. La inundacin y ataques DoS Distribuidos (DDoS) estn prohibidos por este manual. Las tareas son: Verificar que las cuentas administrativas y los archivos y recursos del sistema estn asegurados apropiadamente y todos los accesos estn concedidos con privilegios mnimos. Comprobar las restricciones de sistemas expuestas a redes sin confianza. Verificar que los puntos de referencian estn establecidos a partir de un actividad normal del sistema. Verificar que los procedimientos estn en un lugar que responde a una actividad irregular. probar cargas de red y de servidor excesivas. Evaluacin de Polticas de Seguridad. Es el documento escrito que contiene las polticas que determinan la reduccin de riesgos en una organizacin con la utilizacin de tipos especficos de tecnologas. Esta poltica de seguridad pueden ser ACL`s. En este mdulo se deben llevar a cabo dos funciones: primero, la evaluacin de lo escrito contra el estado actual de las conexiones de la presencia en Internet y la Intranet; y segundo, asegurar que la poltica est incluida dentro de las justificaciones de negocio de la organizacin, y de los estatutos legales, en especial en referencia a los derechos y responsabilidades tanto del empleador como de los empleados y la tica de privacidad personal. Estas tareas exigen que la

    verificacin de vulnerabilidades sean realizadas en su totalidad y que todas las otras revisiones tcnicas hayan sido llevadas a cabo. Las tareas relacionadas con este mdulo se encuentran el ANEXO 4. 1.8.1.4. Seccin D: Seguridad de las Comunicaciones. Se encarga del la evaluacin de las vas de comunicacin de la empresa con el exterior, evala PBS, FAX, MODEM y correo de voz. Evaluacin de PBX. Permite objetivo. Revisar los detalles de llamadas en busca de indicios de abuso. Asegurarse que las cuentas administrativas no tengan contraseas por defecto, ni que las mismas puedan ser fcilmente adivinadas. Verificar que el sistema operativo se encuentre actualizado y con los ltimos parches aplicados. Evaluar la autenticacin de las llamadas entrantes as como la autenticacin remota de las llamadas entrantes. Evaluacin de correo de voz. Permite lograr acceso privilegiado a los sistemas de correo de voz de la organizacin objetivo y de su personal interno. Para llevar a cabo esta evaluacin se deben realizar las siguientes actividades: Verificar el tamao del PIN y su frecuencia de cambio. Identificar informacin de usuarios y de la organizacin. Verificar el acceso remoto para el mantenimiento del sistema. Testear la autenticacin de las llamadas entrantes. Verificar la autenticacin remota de las llamadas entrantes. lograr acceso privilegiado a la central telefnica de la organizacin

    Revisin de FAX. Permite enumerar mquinas de FAX y lograr acceso privilegiado a los sistemas en los que estos quizs se encuentren. Evaluacin del mdem. Enumera los mdems y consigue acceso privilegiado a los sistemas de mdems habilitados en los sistemas de la organizacin objetivo. 1.8.1.5. Seccin E: Seguridad Inalmbrica. Evala la seguridad de las comunicaciones a travs de cualquier medio inalmbrico. Verificacin de la radiacin electromagntica (EMR). Este es un mtodo para verificar la seguridad de las emisiones de radiaciones electromagnticas emitidas por dispositivos de las tecnologas de la informacin.. En este mdulo es necesario, verificar que la organizacin disponga de un poltica de seguridad que trate de las EMR, y que todos los recursos de la informacin se encuentren ubicados dentro de una habitacin blindad de metal Verificacin de redes inalmbricas (802.11). Las WLAN 802.11, se crean rpida y fcilmente pero las medidas de seguridad no forman parte de la configuracin por defecto. Este mdulo se enfoca a la validacin de que las WLAN administren una seguridad aceptable, para lo cual especifica las siguientes tareas: Verificar que la organizacin disponga de una adecuada poltica de seguridad en uso que trate la utilizacin de tecnologas inalmbricas, incluyendo el uso de 802.11. Realizar un inventario completo de todos los dispositivos inalmbricos de la red. Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar o Interferir las Comunicaciones:

    Determinar el nivel de control de acceso fsico a los puntos de acceso y dispositivos que los controlan (cerrojos, lectores de tarjetas, cmaras...). Determinar si los puntos de acceso son apagados durante los momentos del da en los que no son utilizados Verificar que todos los clientes inalmbricos poseen un antivirus instalado. Verificacin de Redes Bluetooth. Este es un mtodo para la verificacin de redes Bluetooth de tipo ad-hoc. De la misma manera que con otras tecnologas inalmbricas, existen vulnerabilidades inherentes que plantean problemas de seguridad significativos. Las tareas de este mdulo son las siguientes: Verificar que existen polticas de seguridad organizativas que traten el uso de la tecnologa inalmbrica, incluyendo la tecnologa Bluetooth. Evaluar Equipamiento, Firmware y Actualizaciones. Realizar un inventario completo de todos los dispositivos inalmbricos de tipo Bluetooth. Realizar ataques de fuerza bruta contra puntos de acceso Bluetooth para comprobar la fortaleza de la contrasea. Verificar que las contraseas contengan nmeros y caracteres especiales.. Verificar el permetro actual de la red Bluetooth. Verificar que los dispositivos Bluetooth son configurados con los niveles ms bajos de potencia para operar suficientemente y mantener las transmisiones dentro de los lmites seguros de la organizacin. Verificacin de Dispositivos de Entrada Inalmbricos. Se evalan los dispositivos de entrada inalmbricos tales como ratones y teclados, los cuales presentan profundas vulnerabilidades y compromisos en cuanto a seguridad. Sus tareas son: Analizar la poltica de seguridad organizativa que trata el uso de tecnologas inalmbricas tales como la de los dispositivos de entrada inalmbricos

    Realizar un inventario completo de todos los dispositivos de entrada inalmbricos en la red y una inspeccin del lugar para medir y establecer el alcance de los dispositivos de entrada inalmbricos para la organizacin. Verificacin de Comunicaciones Sin Cable. Este es un mtodo para la verificacin de dispositivos de comunicacin sin cables que puedan sobrepasar los lmites fsicos y monitorizados de una organizacin. Esto incluye la verificacin de interferencia entre tipos diferentes o similares de comunicacin dentro de una organizacin y sus organizaciones vecinas. Verificar que la organizacin disponga de una poltica de seguridad que trate el uso de tecnologas de comunicacin sin cables. Evaluar el equipamiento, firmware y configuracin: Verificar la distancia en la que las comunicaciones sin cables sobrepasan el lmite fsico de la organizacin. Verificacin de Dispositivos de Vigilancia Inalmbricos. Esta seccin valida los dispositivos de vigilancia inalmbricos como cmaras, micrfonos, etc. Estos dispositivos permiten a las compaas instalar equipamiento de monitorizacin en reas en las que no era anteriormente factible y a un bajo coste. Estos equipos de monitorizacin estn a menudo completamente escondidos sean por su pequeo tamao o bien siendo camuflados por otros objetos tales como alarmas de incendio, cuadros o relojes. Debido a que gran parte de estos equipos son inalmbricos son ms susceptibles a interferencia trivial, intencionada, monitorizacin y reproduccin que las

    equivalentes cableadas. El verificador de la seguridad debe ser tambin la ltima lnea de defensa para asegurar que el equipamiento est instalado y funcionando apropiadamente.11

    11

    ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, 2003, pg. 80.

    Verificar que existe una poltica que trate sobre el equipamiento de vigilancia inalmbrica. Verificar que los equipos de vigilancia estn realmente camuflados o no visibles, si es una de las cosas que pretende el equipamiento. Verificar el permetro actual de la transmisin del dispositivo de vigilancia inalmbrico. Verificacin de Dispositivos de Transaccin Inalmbricos Comprende los dispositivos de transaccin inalmbricos instalados en numerosas tiendas. Este equipamiento se est utilizando para proporcionar conexin con cajas registradoras y otros dispositivos de punto de venta a lo largo de los comercios. Esta tecnologa ha demostrado un enorme beneficio de negocio para las compaas aunque algunas veces se instalan sin tener en cuenta la seguridad y proteccin de la informacin confidencial. Las actividades son: Verificar que existe una poltica corporativa que trate efectivamente el equipamiento de transaccin inalmbrico. Realizar un inventario completo de todos los dispositivos de transaccin inalmbricos. Verificar que los datos enviados sean cifrados y el nivel utilizado. Determinar la habilidad de un tercero no intencionado de interceptar los datos transmitidos. Verificacin de RFID. Las etiquetas de RFID (Identificador de Radio Frecuencia) se componen de un circuito integrado y una antena, su tamao es similar al de medio grano de arena. La informacin est almacenada en el circuito integrado y se transmite mediante la antena. Las etiquetas RFID pueden ser pasivas (sin batera utilizando la transmisin de energa del lector de etiquetas RF) o activas (autoalimentadas por batera). La velocidad y alcance de la transmisin de datos depende de la potencia de salida,

    tamao de la antena, sensibilidad del receptor, frecuencia e interferencia. No requieren lnea de vista para ser ledas y pueden trabajar bajo diversas condiciones ambientales, algunas son resistentes al agua y lavables. Cada etiqueta contiene un identificador nico de 64 bits y una cantidad variable de memoria. Por esta razn pueden proporcionar un alto nivel de funcionalidad e integridad de datos. Algunas de ellas proporcionan medidas de seguridad. Gran parte de las que utilizan cifrado tienen una clave secreta de 40 bits. Son esenciales en logstica pero temidas y cuestionadas por los defensores de la privacidad debido a la calidad y cantidad de informacin que proporcionan. Sin embargo tambin se necesita asegurar que las etiquetas RFID no pueden ser desactivadas por aquellos que intentan robar los artculos. Por esta razn la desactivacin de la etiqueta de RFID solo debera poder ser realizada en la caja registradora y cualquier otro lugar especifico requerido por el negocio. Verificacin de Sistemas Infrarrojos. Para dispositivos de comunicaciones infrarrojas que pudieran sobrepasar los lmites fsicos y monitorizados de la organizacin. Las comunicaciones infrarrojas son mucho menos accesibles desde el exterior de la organizacin en comparacin con 802.11 y Bluetooth. Sin embargo la seguridad en los dispositivos infrarrojos suele descuidarse debido a su relativa inaccesibilidad. Verificar que la organizacin dispone de una poltica de seguridad que trata el uso de las tecnologas inalmbricas tales como dispositivos infrarrojos Evaluar el Control de Acceso. Evaluar la Seguridad Perimetral y Habilidad para Interceptar o Interferir con las Comunicaciones Verificar la distancia sobrepasada en las comunicaciones infrarrojas ms all de los lmites fsicos de la organizacin.

    Revisin de Privacidad. La privacidad de los dispositivos de comunicacin inalmbricos pueden sobrepasar los lmites fsicos y monitorizados de una organizacin. Las tareas par este mdulo son las siguientes: Verificar el mtodo de autenticacin de los clientes, con contraseas robustas y caducables Identificar el tipo y tamao de la base de datos para almacenar informacin 1.8.1.6. Seccin F: Seguridad Fsica. Se encarga de validar el entorno fsico de la infraestructura informtica. Revisin del Permetro. Este es un mtodo para evaluar la seguridad fsica de una organizacin y sus bienes, verificando las medidas de seguridad de su permetro fsico. Trazar mapa del permetro fsico, de las medidas de proteccin fsicas (cercas, puertas, luces, etc.), de las rutas de acceso y/o mtodos fsicos y de las reas no monitoreadas. Revisin de Monitoreo. Este es un mtodo para descubrir puntos de acceso monitoreados, a una organizacin y sus bienes, por medio del descubrimiento de custodia y monitoreo electrnico. Enumerar los dispositivos de monitoreo. Trazar mapa de sitios protegidos y rutas recorridas , de reas monitoreadas y no monitoreadas Examinar los dispositivos de monitoreo en bsqueda de limitaciones y vulnerabilidades. Examinar posibles ataques de denegacin de servicio sobre los dispositivos de monitoreo.

    Evaluacin de Controles de Acceso. Este es un mtodo para evaluar los privilegios de acceso a una organizacin y a sus bienes a travs de puntos de acceso fsicos. son: Examinar dispositivos y tipos de control de acceso, tipos de alarmas Determinar el nivel de complejidad en un dispositivo de control de acceso Determinar el nivel de privacidad en un dispositivo de control de acceso Examinar los dispositivos de control de acceso en bsqueda de puntos dbiles y vulnerabilidades. Revisin de Respuesta de Alarmas. Este es un mtodo para descubrir procedimientos y equipos de alarmas en una organizacin por medio del descubrimiento de custodia y monitoreo electrnico. Enumerar los dispositivos de alarmas Trazar mapa de procedimientos de detonacin de alarmas y de las precauciones de seguridad activados por las alarmas. Determinar las personas involucradas en un procedimiento de alarma Examinar la activacin y desactivacin de alarmas Examinar los dispositivos de alarmas en bsqueda de limitaciones y puntos dbiles ,de posibles ataques de denegacin de servicio sobre los dispositivos de alarma Revisin de Ubicacin. Este es un mtodo para obtener acceso a una organizacin o a sus bienes, a travs de puntos dbiles en su ubicacin y en su proteccin contra elementos externos. Enumerar las reas de la organizacin que son visibles (Lnea de visin) Enumerar las reas dentro de la organizacin que son audibles (Escuchas electrnicas, con lser y otros dispositivos) Examinar las reas de la ubicacin referentes a las entradas por abastecimiento en bsqueda de puntos dbiles y vulnerabilidades Las actividades de este mdulo

    Listar las empresas y empleados de abastecimiento Listar las empresas y empleados de limpieza Listar das y horarios de los ciclos de entregas Listar das y horarios de los ciclos de visitantes Revisin del Entorno. Este es un mtodo para ganar acceso o daar a una organizacin o sus bienes, a travs de puntos dbiles en su entorno. Las tareas comprendidas en este entorno son: Examinar las condiciones de la regin respecto de los desastres naturales y sobre los impedimentos fsicos y electrnicos frente a distintas condiciones climticas Identificar puntos dbiles y vulnerabilidades en los procedimientos de resguardo y recuperacin Identificar posibles ataques de denegacin de servicio en los procedimientos de resguardo y recuperacin Comparar procedimientos operacionales con las leyes, costumbres y tica regional 1.8.1.7. Plantillas de Informes.

    Las plantillas son un breve ejemplo de los requisitos que los informes deben mostrar para poder calificar y ser certificado de conformidad con el OSSTMM. Algunas de estas plantillas se encuentran en el ANEXO 5, y en el ANEXO 6 se dispone una lista de las principales extensiones de archivos implicadas en el ingreso de cdigo malicioso a los sistemas.

    1.8.2. Gua de Pruebas de Intrusin de OWASP. Es conocido tambin como OTP (Proyecto de Evaluacin de OWASP), creado en septiembre del 2001 por Mark Curphey y otros miembros de la fundacin OWASP (Proyecto Abierto para Seguridad de Aplicaciones Web), organizacin sin nimo de

    lucro que lucha contra las causas de

    software

    inseguro, quienes decidieron

    elaborar un manual similar al OSSTMM, pero dedicado exclusivamente a aplicaciones web, su objetivo es ayudar a construir aplicaciones y servicios web ms seguros. Es una metodologa totalmente prctica que proporciona un catlogo compuesto por controles de seguridad a evaluar en toda aplicacin web, en lo que refiere a pruebas de AJAX, WSDL (Web Service Development Language), Desbordamiento de bfer, LDAP (Lightweigth Directory Access Protocol), Inyeccin SQL Inyeccin CSS (Cascade Style Sheets), XSS (Cross Scripting), escalado de privilegios, etc. Adems ofrece indicaciones sobre las herramientas y las tcnicas que se pueden emplear, lo que la convierte en una metodologa adecuada tanto para principiantes como para usuarios avanzados. Esta metodologa establece que las causas de un software inseguro se enfocan en vulnerabilidades, desarrolladores, estructura organizativa, procesos de desarrollo, tecnologa, incremento de complejidad y de conectividad, y muchas veces tambin los requerimientos legales. Se compone de dos partes; la primera parte abarca: principios de la evaluacin, explicacin de las tcnicas, y acerca del entorno de trabajo de OWASP. Y en la segunda parte, se planifican todas las tcnicas necesarias para evaluar cada paso del SDCL (Ciclo de Vida del Desarrollo de Software) a fin de que el mbito de la evaluacin a realizar comience mucho antes de que la aplicacin web se encuentre en produccin OWSAP en su apartado para las pruebas de intrusin de las aplicaciones web indica la manera de realizar la comprobacin de vulnerabilidades bajo dos fases: Modo Pasivo Modo Activo. Modo Pasivo. Indica como la persona a cargo de la realizacin de las pruebas debera comprender la lgica de la aplicacin y determinar los puntos de acceso a la aplicacin (cabeceras HTTP, parmetros, cookies); para lo cual sugiere el uso de un proxy http, para observar todas las peticiones y respuestas.

    Todos los puntos de acceso encontrados en esta fase sern considerados en las pruebas, adems es importante elaborar una hoja de clculo con el rbol de directorios de la aplicacin y todos los puntos de acceso lo que facilitar el trabajo en la segunda fase. Modo Activo. En esta fase la persona a cargo de la comprobacin empieza a realizar las pruebas. Las cuales estn divididas en las siguientes subcategoras. Recopilacin de informacin. Pruebas de gestin de la configuracin. Pruebas de la lgica de negocio. Pruebas de Autenticacin. Pruebas de Autorizacin. Pruebas de gestin de sesiones. Pruebas de Validacin de datos. Pruebas de denegacin de servicio. Pruebas de Servicios web. Pruebas de AJAX. En el ANEXO 7 ver la tabla con la lista de comprobaciones a realizarse en cada una de estas subcategoras. Recopilacin de informacin. Consiste en recoger toda la informacin sobre la aplicacin objetivo. Esta recopilacin es un paso indispensable en una prueba de intrusin y se puede llevar a cabo de muchas formas; utilizando herramientas de acceso pblico (motores de bsqueda), escner, enviando peticiones HTTP simples, o peticiones especialmente diseadas, forzar a la aplicacin a filtrar informacin al exterior mediante los mensajes de error que devuelve, o revelar las versiones y tecnologa que usa la aplicacin. Ver en el ANEXO 8 un listado de los operadores especiales para bsquedas avanzadas en Google.

    Pruebas de gestin de la configuracin. Es el anlisis sobre la infraestructura o la topologa de la arquitectura que permite obtener datos como por ejemplo el cdigo fuente, los mtodos HTTP permitidos, funcionalidades administrativas, mtodos de autenticacin y configuraciones de la infraestructura. Pruebas de Autenticacin. Es el acto de establecer o confirmar algo (o alguien) como autntico, es decir, que las afirmaciones hechas por o sobre tal cosa son ciertas. Autenticar un objeto puede significar confirmar su procedencia, mientras que autenticar a una persona consiste a menudo en verificar su identidad. La autenticacin depende de uno o ms factores de autenticacin. En seguridad informtica, autenticacin es el proceso de intentar verificar la identidad digital del remitente de una comunicacin. Un ejemplo comn de un proceso as es el proceso de registro en un sistema. Comprobar el sistema de autenticacin significa comprender como funciona el proceso de autenticacin y usar esa informacin para eludir el mecanismo de autenticacin. "12 Consiste en probar cuentas de usuarios predeterminadas, pruebas de fuerza bruta, saltarse el sistema de autenticacin (peticin directa de pginas, modificacin de parmetros, prediccin de ID de sesin e inyeccin SQL), recordatorio de contraseas, pruebas de gestin de cach y salida de sesin Pruebas de gestin de sesiones. Incluye todos los controles que se realizan

    sobre el usuario, desde la autenticacin hasta la salida de la aplicacin. La mayora de entornos de aplicacin web, como ASP y PHP, proporcionan a los desarrolladores rutinas integradas para la gestin de sesiones. Por lo general, se emitir algn tipo de testigo de identificacin, o Cookie. Hay varias formas en las que una aplicacin web puede interactuar con un usuario. Cada una de ellas depende de la naturaleza del sitio, y de los requisitos de seguridad y

    disponibilidad de

    la aplicacin. Se deben realizar pruebas para atributos de

    sesin, variables de sesin expuestas y fijacin de sesiones.

    12

    OWASP Fundation: Gua de Pruebas OWASP versin 3.0:, edicin en Espaol, http://www.4shared.com/file/117819367/acd0e268/Gua_de_pruebas_de_OWASP_ver_30.html, 2008, pg. 121.

    Pruebas de Autorizacin. Es el concepto de permitir el acceso a recursos nicamente a aquellos que tienen permiso para ello. Estas pruebas significan entender cmo funciona el proceso de autorizacin, y usar esa informacin para saltarse el mecanismo de autorizacin, es un proceso que llega posterior a la Autenticacin correcta, por lo que el evaluador verificar este punto despus de tener credenciales validas, asociadas a un conjunto de perfiles y privilegios bien definidos. Durante este tipo de evaluaciones, debe verificarse si es posible evitar el sistema de autorizacin, encontrar una vulnerabilidad de traspaso de rutas, o encontrar maneras de escalar los privilegios asignados al evaluador. Pruebas de la lgica de negocio. Las fallas de este tipo no puede ser detectado por un scanner de vulnerabilidades y solamente se basa en las habilidades y creatividad del auditor de intrusin. Adems, este tipo de vulnerabilidades son usualmente una de las ms difciles de detectar, pero al mismo tiempo usualmente una de los ms perjudiciales para la aplicacin, si son explotadas. La lgica de negocio comprende: Reglas de negocio que expresan las polticas del negocio (como canales, localizacin, logstica, precios y productos); y Flujos de trabajo, que son las tareas ordenadas de paso de documentos o datos de un elemento participante (una persona o sistema de software) a otro. Los ataques sobre la lgica de negocio de una aplicacin son peligrosos, difciles de detectar y especficos a la aplicacin. Pruebas de validacin de datos. La debilidad ms comn en la seguridad de aplicaciones web, es la falta de una validacin adecuada de las entradas procedentes del cliente o del entorno de la aplicacin. Esta debilidad conduce casi todas las principales vulnerabilidades en aplicaciones, como inyecciones sobre el intrprete, ataques local/Unicode, sobre el sistema de archivos y desbordamientos de bfer. Los datos procedentes de cualquier entidad/cliente externos nunca deberan ser considerados como confiables, ya que una entidad/cliente externo puede alterar los datos. El problema es que en una aplicacin compleja, los puntos de acceso para un atacante se incrementan en nmero, y es fcil dejar de implementarla. Esta prueba explica cmo comprobar todas las formas posibles de

    validacin de entradas, para poder comprender si la aplicacin es lo suficientemente resistente ante cualquier tipo entrada de datos. Pruebas de denegacin de servicios. El tipo ms comn de ataque de

    Denegacin de Servicio es hacer inalcanzable la comunicacin entre el servidor y usuarios vlidos. Consiste generalmente en un usuario malicioso inundando con suficiente trfico una mquina objetivo para conseguir hacerla incapaz de sostener el volumen de peticiones que recibe. Este tipo de ataques generalmente van ms all del alcance de lo que un desarrollador de aplicaciones puede evitar en su propio cdigo. Este tipo de ataque es mitigado de forma adecuada mediante soluciones de arquitectura de red. Existen, sin embargo, tipos de vulnerabilidades dentro de las aplicaciones que permiten a un usuario malicioso provocar que algunas funcionalidades o a veces el sitio web completo quede indisponible. Estos problemas son causados por bugs (fallos) en la aplicacin, a menudo como resultado de entradas indebidas o valores de entrada no esperados. Pruebas de Servicios Web. Los servicios web y SOA (Arquitectura Orientada a Servicios) son aplicaciones en expansin que estn permitiendo que los negocios interoperen y crezcan a pasos agigantados. Los clientes de servicios web generalmente no son frontales web, sino otros servidores. Los servicios web estn expuestos a la red pero pueden ser usados en HTTP, FTP, SMTP o por cualquier otro protocolo de transporte. Los Frameworks de Servicios Web utilizan el

    protocolo HTTP con las tecnologas XML, SOAP, WSDL y UDDI: El Lenguaje de Descripcin de Servicios Web (WSDL) se utiliza para describir las interfaces de un servicio. El Protocolo Simple de Acceso a Objetos (SOAP) proporciona el medio en la comunicacin entre los servicios Web y las aplicaciones cliente con XML y HTTP. El UDDI o Descripcin, Descubrimiento e Integracin Universal, se utiliza para registrar y publicar los servicios Web y sus caractersticas para as poder ser encontradas por clientes potenciales. Las vulnerabilidades en servicios web son similares a otras vulnerabilidades como la inyeccin SQL, revelacin de informacin, etc., pero tambin tienen vulnerabilidades de XML nicas. Pruebas de AJAX. Acrnimo de JavaScript Asncrono y XML, es una tcnica de desarrollo web para crear aplicaciones web interactivas y de fcil utilizacin. Desde

    el

    punto

    de

    vista

    de la

    seguridad, las

    aplicaciones AJAX tienen

    una

    superficie de ataque mayor que las aplicaciones web convencionales, a veces son desarrolladas centrndose ms en qu se puede hacer que en qu se debera hacer. Las aplicaciones AJAX son vulnerables al rango completo de vulnerabilidades de las aplicaciones web tradicionales: inyeccin SQL, vulnerabilidades de

    manipulacin de parmetros, problemas de confidencialidad e integridad, suplantacin cruzada de peticiones entre sitios Probar aplicaciones AJAX puede ser un reto porque los programadores tienen una gran cantidad de libertad en la manera en que se comunican entre el cliente y el servidor. En las aplicaciones web tradicionales, los formularios HTML estndar enviados va peticiones GET o POST tienen un formato sencillo de entender, y por tanto, es fcil modificar o crear nuevas peticiones bien formadas. Las aplicaciones AJAX a veces usan una codificacin diferente o esquemas de serializacin para enviar los datos que se pasan por POST, haciendo difcil para las herramientas de pruebas crear peticiones de pruebas automatizadas de forma confiable. El uso de proxys web es extremadamente valioso para observar el trfico asncrono detrs del escenario y en ltimo lugar, modificar este trfico para probar la aplicacin AJAX.13 Redaccin de informes. Son las indicaciones de la manera de realizar los informes, y valorar el riesgo de forma correcta (riesgo = probabilidad * impacto). Consta de seis pasos en los cuales se descomponen cada uno de los factores que intervienen en el impacto para la seguridad de las aplicaciones y como se los combina para determinar el grado de severidad global del riesgo.
    13

    OWASP Fundation: Gua de Pruebas OWASP versin 3.0:, edicin en Espaol, http://www.4shared.com/file/117819367/acd0e268/Gua_de_pruebas_de_OWASP_ver_30.html, 2008, pg. 372.

    Estos pasos son: Identificando un Riesgo. Identificar un riesgo que requiere ser valorado, para lo cual es requerido realizar una recopilacin sobre los agentes que causan amenazas, el tipo de ataque que aplican, la vulnerabilidad involucrada y el impacto de una explotacin exitosa. Factores para estimar la probabilidad de ocurrencia. Es una medida aproximada de lo probable que esa vulnerabilidad sea descubierta y explotada por un atacante, sta puede cualificarse como baja, media o alta. Factores para estimar el Impacto en el Negocio. Cuando se considera el impacto de un ataque exitoso, es importante tener en cuenta que existen dos tipos de impactos: El impacto tcnico en la aplicacin, datos que utiliza, y funciones que proporciona. Y el impacto sobre el negocio que opera la aplicacin. Al final, el impacto sobre el negocio es ms importante. Sin embargo, es posible que no se disponga de toda la informacin necesaria para averiguar las consecuencias para el negocio de una explotacin con xito de la vulnerabilidad. En este caso, proporcionar el mayor detalle posible sobre el riesgo tcnico permitir al cliente tomar una decisin sobre el riesgo para el negocio. De nuevo, cada factor tiene un conjunto de opciones, y cada opcin tiene un nivel de impacto asociado que vara de 0 a 9. Estos datos sern importantes para estimar el impacto global. Determinacin de la Severidad del Riesgo. En este paso se junta la probabilidad de ocurrencia estimada y el impacto estimado para calcular la severidad global de este riesgo. Todo lo que se necesita hacer es comprender si la probabilidad de ocurrencia es BAJA, MEDIA, o ALTA y despus hacer lo mismo con el impacto. Se divide la escala del 0 al 9 en tres partes, como se muestra en la tabla 2.4.

    Tabla de Determinacin de la severidad del riesgo


    Probabilidad de ocurrencia Menor a 3 Menor a 5 6a9 Nivel de impacto ALTO MEDIO BAJO

    Tabla 2.4: Determinacin de la severidad del riesgo: Cualificacin.

    Se puede hacer uso del mtodo informal, que no es ms que un clculo al ojo de los factores y una captura simple de respuestas y el mtodo repetitivo que consiste en un proceso ms formal para puntuar los factores y calcular los resultados. Este ltimo mtodo ver en el ANEXO 9.

    Para elaborar el informe final de pruebas, que constituye el 50% del trabajo luego de la realizacin del test de pruebas. Este informe debe ser fcil de entender, recalcar todos los riesgos encontrados durante la fase de evaluacin y debe estar dirigido tanto al personal tcnico como a la direccin del cliente. Este informe debe contemplar tres secciones importantes: a. Resumen ejecutivo. Analiza de manera breve y general los hallazgos de la evaluacin y da una idea global del riesgo que presenta la aplicacin. Debe utilizarse un lenguaje con pocos tecnicismos e incluir grficos o tablas que muestren el nivel de riesgo. Tambin pueden incluirse en este resumen de cundo empezaron y terminaron las pruebas, y las acciones e implicaciones para tener una aplicacin segura. b. Consideraciones tcnicas generales. Est dirigido generalmente a los responsables tcnicos que requieren un detalle ms tcnico que el del resumen ejecutivo. Esta seccin debe incluir detalles como: el alcance de la evaluacin, los objetivos y cualquier otra advertencia, como la disponibilidad del sistema, etc. Esta seccin necesita incluir tambin una introduccin de la medida del riesgo empleada en el informe, y finalmente un resumen tcnico de los hallazgos realizados.

    c. Hallazgos realizados durante la evaluacin. Son los detalles tcnicos de las vulnerabilidades encontradas y es necesario incluir toda la informacin pertinente para que el personal tcnico tenga la capacidad de entender y resolver las vulnerabilidades halladas. Debe incluir: Un nmero identificador, para poder referenciar fcilmente, con capturas de pantalla Los elementos afectados Una descripcin tcnica Una seccin sobre cmo resolver la incidencia El nivel de riesgo y el valor de impacto

    En el ANEXO 10, se dispone de la tabla del reporte. d. Herramientas utilizadas. Se enlistan las herramientas usadas durante las pruebas, sean estas comerciales o de cdigo abierto. 1.8.3. ISSAF (Framework de Evaluacin de Seguridad de Sistemas de Informacin). ISSAF (Framework de Evaluacin de Seguridad de Sistemas de Informacin), es una metodologa estructurada de anlisis de seguridad. PTF (Penetration Testing Framework) se trata de un entorno de trabajo detallado de las prcticas y conceptos de todas y cada una de las tareas a ejecutar en una evaluacin de seguridad. Es un proyecto de OISSG (Grupo de Seguridad de Informacin Abierto) presentado formalmente los primeros das de enero del 2005, se trata de un documento que se enfoca en los denominados Criterios de Evaluacin, cada uno de los cuales ha sido escrito y/o revisado por expertos en cada una de las reas de aplicacin. Estos criterios de evaluacin se componen de: Una descripcin del criterio de evaluacin.

    Finalidades y objetivos. Los pre-requisitos para realizar la evaluacin. El proceso para la evaluacin. El informe de los resultados esperados. Las contramedidas recomendadas Referencias a documentacin externa.

    A fin de establecer un orden preciso y predecible, los Criterios de Evaluacin, se encuentran contenidos dentro de diferentes dominios entre los que es posible encontrar, desde los aspectos ms generales, como los conceptos bsicos de la Administracin de Proyectos de Evaluacin de Seguridad, hasta tcnicas tan

    puntuales como la ejecucin de pruebas de Inyeccin de Cdigo SQL o como las Estrategias del Cracking de Contraseas, Reportes de ejemplo, Plantillas de Seguimiento de Proyecto, Plantillas de Contratos de Trabajo/confidencialidad, Listas de Verificacin, Evaluacin del Software Antivirus, Armado del Laboratorio de Pruebas y muchos aspectos ms, acerca de las tareas que deben ser llevadas a cabo por el evaluador de seguridad. 14 ISSAF propone tres fases y nueve pasos de evaluacin para la realizacin de una completa prueba de penetracin: Fase I Planeacin y Preparacin Fase II Evaluacin Fase III Presentacin de Informes, Limpieza y Destruccin de Artefactos.

    Cada una de estas fases involucra muchos procesos, entre ellos los siguientes: Recoleccin de Informacin, Identificacin de Recursos, Riesgos Inherentes, Regulaciones Legales, Polticas de Seguridad, Evaluaciones, Mapeo de Red,

    14

    RACCIATTI, Hernn Marcelo, Revista: @rroba #94, Septiembre 2005,


    http://www.hernanracciatti.com.ar, pg. 7.

    Identificacin de Vulnerabilidades, Penetracin, Obteniendo Acceso, Escalada de Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas y Reportes. 1.8.3.1 Fase I: Planeacin y Preparacin. En esta fase se prepara todo el escenario para la realizacin del test de evaluacin, considerando esencial un Acuerdo de Evaluacin, firmado por las dos partes, el evaluador y el cliente, que permitir sentar las bases del proceso y poseer un amparo legal de proteccin mutua, donde entre otras cosas se especifican, compromiso del grupo de evaluacin, tiempos de las pruebas, fechas, etc. Esta fase se encarga de determinar el alcance, y acuerdos para los test 1.8.3.2 Fase II: Evaluacin. Es la fase donde se lleva a cabo la prueba de penetracin. La figura 1.4 indica los pasos que se deben seguir en esta fase, los mismos que se deben cumplir de manera cclica hasta completarlos.

    Figura 1.4: Fases de Evaluacin de ISSAF

    Recoleccin de Informacin. Permite obtener la mayor cantidad posible de informacin desde Internet acerca 7del cliente (organizacin / persona) haciendo uso eficiente de las tcnicas

    DNS/WHOIS o la Ingeniera social, esta es una etapa muy importante para el test y debe realizarse con la mayor cautela para detectar los puntos de vulnerabilidad. Sondeo de la Red. Este proceso trata de tomar el footprint de la red y los recursos objetivo. Con el uso de varias herramientas y aplicaciones se crea una idea de la topologa de red y los host mediante toda la informacin obtenida en el paso previo. Esto implica: buscar host, escaneo de puertos y servicios, sondeo del permetro de la red (routers, firewall), identificacin de servicios crticos, identificacin de los Sistemas Operativos, identificacin de routers usando Management Information Base (MIB). Para la realizacin de este proceso es necesario establecer un plan previo, para lo cual se debe tomar en cuenta tres aspectos bsicos: puntos de debilidad, los puntos ms crticos para la organizacin y considerar todos los datos recolectados. Identificacin de Vulnerabilidades. Para ello el evaluador debe ya haber identificado los puntos a testear. Durante este proceso se deben ejecutar varias tareas para explotar los puntos dbiles detectados. Estas actividades incluyen: identificacin de la vulnerabilidad de los servicios usando banners, explotacin y verificacin de falsos positivos y falsos negativos, enumerar las vulnerabilidades encontradas, estimar el impacto para el cliente, identificar las rutas de ataque y los escenarios para su explotacin. Penetracin. Aqu el evaluador trata de ganar acceso no autorizado para medir los niveles de seguridad, y prueba de las formas posibles el conseguir el acceso al sistema, utilizando tanto herramientas propias como externas. Ganar Acceso y Escalar Privilegios. Se intentan obtener cuentas de usuarios (login y contraseas) del sistema analizado a travs de herramientas automticas utilizadas por los hackers. Se utilizan contraseas por defecto del sistema, ataques por fuerza bruta, diccionarios

    de contraseas, etc. El objetivo posterior al conseguir acceso mediante una cuenta no autorizada al sistema, es conseguir acceso de Administrador. Para lo cual se pueden realizar las siguientes actividades: Obtener contraseas encriptadas para cracking fuera de lnea, por ejemplo descargando desde SAM en Windows y /etc/passwd y etc/shadow en Linux. Obtener contraseas en texto plano o encriptado usando snnifing u otras tcnicas Anlisis de trfico mediante un snnifing Recopilar cookies y usarlas para explotar sesiones y ataques de contraseas Recopilando direcciones de correos electrnicos Identificando routers y redes. Sondeo de redes internas.

    Comprometer usuarios y sitios remotos. Un simple agujero es suficiente para exponer a toda la red, independientemente de que sta se encuentre dentro de un permetro protegido. La comunicacin entre usuarios/sitios remotos y redes empresariales pueden ser protegidas mediante autenticacin encriptada utilizando tecnologas como VPN, sin embargo que sus puntos finales de comunicacin sean comprometidos. En estos escenarios el evaluador debera tratar de comprometer a los usuarios remotos que tienen acceso a la red interna. Manteniendo el Acceso. Esta metodologa toma muy en cuenta la verificacin de canales cubiertos, puertas traseras (back doors) o despliegue de rootkits (programas de administracin), pues si alguno de estos huecos de entrada permanecen abiertos representa un gran riesgo para la infraestructura informtica de la empresa si son detectadas por un verdadero atacante. Canales Cubiertos.

    Pueden ser usados para cubrir la presencia de un atacante en el sistema o en la red mediante tneles de protocolos, como tnel de ICMP, HTTP, entre otros, y tambin pueden utilizar VPNs. Para detectar y proteger los canales cubiertos se pueden seguir los siguientes pasos: Identificar el canal cubierto que pueda ser utilizado. Utilizar la mejor herramienta posible para cubrir este canal. Configurar la metodologa de cubrimiento de canales en la red objetivo. Comprobar que el canal este totalmente cubierto mediante el uso de tcnicas de deteccin comunes.

    Puertas Traseras (back doors). Esto significa que existen lugares disponibles por donde poder entrar o volver a un sistema, aun cuando la cuenta usada no sea de amplia disponibilidad (por ejemplo haya sido terminada). Las puertas traseras pueden ser creadas de varias maneras, en todos los casos utilizando rootkits: abriendo un puerto que est escuchando en el sistema objetivo, mediante la conexin del sistema objetivo al servidor, escuchando la transmisin de secuencias de paquetes que abrir un puerto.

    Rootkits. Permite mediante un acceso remoto tener el control del sistema, an ms que un administrador, ste puede accesar a archivos, procesos y otros objetos de la red. Los rootkits son programas de kernel que permiten esconderse a s mismo y cubrir las actividades de otro programa.

    Cubrir las huellas. Es una prctica comn durante una prueba de penetracin excepto cuando el cliente no desea. Se trata esencialmente de cubrir las huellas de la intrusin, de las evidencias y actividades que pueden haber realizado. Ocultar archivos. Una vez realizadas las pruebas anteriores el evaluador necesita eliminar las evidencias de las actividades realizadas para poder ganar y mantener el acceso en el sistema, con la finalidad de que quede en su estado normal con las seguridades

    aplicadas. Generalmente para ello simplemente se aplica el atributo Oculto que los archivos poseen. Limpiar Archivos de Registro (Logs). Cuando un atacante ha comprometido exitosamente un sistema, desear guardarlo sin alertar al administrador, por obvias razones. Durante el proceso de comprometer al sistema, actividades sospechosas o errneas son registradas en archivos log, el atacante sabe de ello y borra o modifica estos registros para cubrir sus huellas y presencia. 1.8.3.3 Fase III: Presentacin de Informes, Limpieza y Destruccin de Artefactos. Un reporte mnimo debe constar de un informe verbal y un informe final por escrito. Presentacin de Informes. Esta metodologa se encarga de la presentacin de tres tipos de informes, los informes verbales (que no son imprescindibles), el informe final y un informe de los elementos que deben ser eliminados de los sistemas (solo en caso necesario). Informe Verbal. En el transcursos de la prueba de penetracin si algn aspecto identificado es crtico debe ser inmediatamente reportado para que la organizacin est al tanto. Informe Final. Luego de completar todos los casos de test a realizar en el alcance previamente definido y estipulado en un documento en la Fase I, se escribe un reporte que describa en forma detallada los resultados de la prueba de penetracin. El reporte debe presentar la siguiente estructura: Resumen Ejecutivo Alcance del proyecto, indicando los aspectos que no son considerados. Herramientas que han sido utilizadas. Registro de horas y fechas en las que se han realizado las pruebas Los resultados de cada una de las pruebas realizadas.

    Una lista de todas las vulnerabilidades detectadas, junto con las recomendaciones para resolverlas. Una lista de buenas prcticas recomendadas para mantener la seguridad en los sistemas.

    Limpieza y Destruccin de Artefactos.

    Toda informacin creada y almacenada en los sistemas debe ser removida. Si esto no es posible desde el sistema remoto, todos estos archivos (con su localizacin) deben ser mencionados en un informe tcnico al personal tcnico del cliente par que puedan removerlos.

    CAPTULO II
    DIAGNSTICO SITUACIONAL En este captulo se detalla de manera breve la informacin general de la empresa que es objeto del hackeo tico, sus antecedentes, problemas y del anlisis actual de su Intranet. 2.1. Antecedentes.

    La empresa 1000 Mil Bordados se encuentra ubicada en Carceln, Avenida Isidro Ayora N84115 y Antonio de Prado, fue creada para satisfacer las necesidades existentes en el mercado industrial de confeccin y moda de todo tipo de telas y formas de confeccin, con el fin de brindar un servicio de calidad y excelencia del bordado, cuya estrategia de mercado es la entrega inmediata y al gusto del cliente. Adems de contar con la maquinaria tecnolgica moderna y suficiente para abastecer un mercado mediano de bordado, cuenta con el talento humano profesionalmente capacitado. Ofrece servicios de bordado y digitalizacin de alta tecnologa en todo tipo de prendas de vestir, al por mayor y menor. En la figura 2.1 se muestra una fotografa de las instalaciones exteriores de la empresa.

    Figura 2.1: Instalaciones exteriores de 1000 Mil Bordados

    En la figura 2.2 se puede ver una fotografa de las instalaciones interiores de la empresa.

    Figura 2.2: Instalaciones interiores de 1000 Mil Bordados

    2.2.

    Problemas.

    La empresa 1000 Mil Bordados carece de una poltica de aseguramiento de las infraestructuras informticas e informacin en cuanto a la implantacin de procesos de auditora informtica, auditora de vulnerabilidades, hackeo tico, escaneo de vulnerabilidades o anlisis de riesgos de seguridad de los recursos informticos. Por ende la infraestructura informtica no ha sido sometida a procesos que evalen la seguridad. Los personeros de esta empresa confan plenamente que con las configuraciones realizadas en sus equipos, la informacin de sus clientes, proveedores, y empleados se mantienen bajo los conceptos de integridad, confidencialidad y disponibilidad. Aducen adems que una empresa de su magnitud est lejos de ser el blanco del ataque de los hackers. Por otro lado manifiestan que muy a menudo se presentan los siguientes inconvenientes: Saturacin del ancho de banda. Presencia de malawares (virus, troyanos, spywares).

    2.3.

    Inundacin de correos electrnicos con spam. Los archivos de carpetas compartidas desaparecen inexplicablemente. Los discos duros son mal usados por los usuarios. Requerimientos:

    Se especifica el contenido del Acuerdo de Evaluacin, parte fundamental de la metodologa ISSAF. El cliente somete su Intranet a la evaluacin mediante una prueba de intrusin bajo las siguientes consideraciones: Acceso a una PC de la Intranet. Dotacin de una cuenta y contrasea de usuario con privilegios de Administrador. Una breve resea de la estructura de la Intranet, a cargo del jefe del departamento tcnico de sistemas. No incluir procesos de validacin de DoS. No indisponer los recursos de red o informacin durante el proceso de la prueba. No modificar o eliminar archivos o directorios. No cambiar la configuracin en ninguno de los equipos. Que el proceso en s sea transparente tanto para el empleado como para el cliente de la empresa. En el caso de ser necesaria la instalacin de sistemas de software, los mismos deben ser removidos al finalizar la prueba. Mantenerse ajeno a los empleados y clientes. Sobretodo mantener una estricta confidencialidad de la informacin que se administre en la Intranet, sin embargo se autoriza para los fines de esta investigacin tcnica mostrar el proceso y los resultados de la deteccin de vulnerabilidades. No se realizarn las fases: comprometer usuarios/sitios remotos,

    mantenimiento del acceso y cubrir huellas que son parte de la metodologa con la finalidad de cumplir con los acuerdos anteriores.

    2.4.

    Anlisis de la Situacin Actual.

    En este punto se realiza un anlisis preliminar de como se dispone fsicamente la red, los servidores que existen, los sistemas operativos que corren en las mquinas, las aplicaciones instaladas y direcciones IP que conforman la red. La empresa cuenta con un cableado estructurado desde hace dos aos, se trata de una red compuesta de las siguientes especificaciones: Servidores de la Empresa..
    Servidor Servidor de base de datos (ServerOne), que hace tambin de Servidor de impresin Servidor proxy (ServerProx), Sistema Operativo Microsoft Windows 2003 Server SP2. Software MYSQLServer 5.0

    Centos 5.0 (Linux)

    Tabla 2.1: Lista de servidores de 1000 Mil Bordados.

    Equipos de red de la Empresa.


    Equipo de red Switch 3COM de 24 puertos Descripcin Interconecta los equipos de la empresa con IPs privadas. Es por donde salen a Internet y funciona tambin como cortafuego.

    Router Dlink

    Tabla 2.2: Lista de algunos de los equipos de la red de 1000 Mil Bordados.

    Sistemas de Software (Aplicaciones). Las estaciones de trabajo tienen incorporados el Sistema Operativo Windows XP Professional SP3. Cuenta con las aplicaciones ofimticas generales, antivirus, winrar, Foxit Reader 3.0, Navegadores web (Mozilla Firefox 3.0.3 e Internet Explorer) y aplicaciones para el diseo grfico como Macromedia (Flash,

    Dreamweaver, y FreeHand), WinComp, Punch, Autocad 2007 versin en espaol, Photoshop e Ilustrator. Las PCs, utilizadas especficamente para la elaboracin de trabajos propios del diseo grfico cuentan con sistema Operativo Macintosh, cuya arquitectura es especficamente de esa marca, y cuenta con aplicaciones soportadas para el diseo grfico. Direcciones IP. Las direcciones IP de los equipos de la intranet tienen direcciones privadas de categora C. La direccin de red que utilizan es la 192.168.0.0 / 24.

    CAPTULO III
    DISEO DE LA PROPUESTA En este captulo se detallar el proceso de hackeo tico a la empresa 1000 Mil Bordados, se indicarn las pruebas realizadas y herramientas utilizadas en cada una de las actividades llevadas a cabo. 3.1. Descripcin de la Propuesta. Con el consentimiento del representante de la microempresa 1000 Mil Bordados, se procede a la realizacin de una prueba de intrusin o hackeo tico bajo la gua de la metodologa ISSAF. En la prctica a implementar se realizarn pruebas en un segmento de red interna del cliente (Intranet), simulando ser un hacker interno. No se solicitarn datos adicionales a los que contiene las estaciones de trabajo de la red, y ese ser el punto de partida del proceso de hackeo. Ms all de los aspectos detallados por el cliente, el proceso del hackeo tico va a corroborar las polticas de seguridad implantadas, enfocando los esfuerzos en brindar soluciones y no en demostrar cun fcil o complejo es vulnerar las seguridades de la red. 3.2. Escenario de prueba. En la figura 3.1 se puede ver la disposicin de la red (Intranet), e identificar el lugar desde donde se va a proceder con la evaluacin mediante la prueba de intrusin controlada. En esta topologa es posible ver claramente la posicin del hacker tico, la cual consiste en una PC comn de la red de computadoras la misma que tiene acceso a los recursos de la red como impresoras, Internet y archivos compartidos.

    Figura 3.1: Escenario utilizado en la prueba de intrusin.

    La topologa de la red es relativamente sencilla, consta de varias estaciones de trabajo conectadas a un switch 3com de 16 puertos. La PC que se va a utilizar tiene las caractersticas indicadas en la tabla 3.1. Tabla de las Caractersticas de PC de ataque
    Elemento Sistema Operativo Navegador Web Caracterstica Windows XP Professional Edition SP2. Internet Explorer 6.0 Mozilla Firefox 3.0.3 Nombre del Equipo IP del equipo Cuenta de Administrador PC 192.168. 0.5 /24 Administrador

    Tabla 3.1: Caractersticas de la estacin de trabajo atacante

    3.3. Descripcin del diseo de la solucin. En este apartado se explica el objetivo que persigue este hackeo tico en particular, la seleccin de la metodologa y de las herramientas utilizadas.

    3.3.1. Objetivo. Identificar las vulnerabilidades y sugerir sus contramedidas, mediante la simulacin de un ataque de un hacker interno a la Intranet de 1000 Mil Bordados utilizando la metodologa ISSAF, para determinar el nivel de la seguridad informtica.

    3.3.2. Seleccin de la metodologa. Para la seleccin de la metodologa se ha tomado en cuenta el anlisis situacional realizado en el captulo anterior, lo que conlleva a descartar a la Gua de Pruebas de OWAPS, debido a que sta evala especficamente aplicaciones web. De entre OSSTMM e ISSAF, se selecciona la segunda debido a que es una metodologa flexible que se aplica a cualquier entorno de evaluacin. Mediante la metodologa ISSAF se ejecutarn las fases indicadas en la figura 3.1.

    Hacker

    Fase I Hacker tico


    Planeacin

    Fase II

    Fase III

    Evaluacin

    Informes

    Acuerdo de Evaluacin

    Recoleccin de Informacin Sondeo de Red Identificacin de Vulnerabilidades

    Informe Final

    Penetracin Ganar acceso y escalar privilegios

    Figura 3.1: Alcance de la prueba de penetracin.

    Algunas consideraciones con respecto a las fases desarrolladas, se estipulan en el Acuerdo de Evaluacin. 3.4. Implementacin del Hackeo tico. Para la implementacin del proceso de hackeo tico se observan las fases estipuladas en la seleccin de la metodologa (punto 3.3.2), para lo cual se seleccionan cuidadosamente las herramientas que van a usarse, cuya instalacin, configuracin y utilizacin es bastante intuitiva y poco compleja. Adems de la facilidad de aprendizaje del uso de las herramientas debido a que estos programas cuentan con sistema de ayuda e informacin dispersa en Internet. 3.4.1. Fase I: Planeacin. En esta fase se especifica el acuerdo con el cliente, cuyas condiciones se encuentran detalladas en el captulo 2. En este acuerdo se especifica que la duracin de las pruebas de intrusin ser desde el 5 al 20 de marzo del 2010. 3.4.2. Fase II: Evaluacin. En esta fase se proceden con todas las pruebas necesarias para detectar las vulnerabilidades en la red, para lo cual se utilizan herramientas automticas de bsqueda en Internet (whois), escaneo o mapeo de red, y de escaneo de puertos abiertos. Las herramientas utilizadas para esta prueba de intrusin se hallan en Internet. 3.4.2.1. Recopilacin de Informacin. Se utilizan herramientas de footprinting, anteriormente explicadas (capitulo 1). 3.4.2.2. Sondeo de la Red e Identificacin de Vulnerabilidades. En estas fases se utilizan algunas herramientas de enumeracin y escaneo. En esta fase se utiliz ping, nsloockup, FreeIpScan, IpScan y traceroute. En la figura 3.2 se muestra el uso de la herramienta Advanced IpScan, y en la figura 3.3 la herramienta Free IP Scan.

    Figura 3.2: Uso de Advanced IpScan.

    En la figura 3.2 se indica la utilizacin de la herramienta Advanced IpScan, que permite verificar entre un rango de direcciones IP los host activos, es posible tambin obtener el nombre del host, su direccin MAC, nombre del grupo de Trabajo.

    Figura 3.3: Uso de Free IP Scanner.

    3.4.2.3. Penetracin, ganar acceso y escalado de privilegios. Para esto se utilizan herramientas de ataque (hackeo). El detalle de estas pruebas se encuentran en el informe final. Se us: Nmap, Nessus, el comando bsico de red ping e IpSecScan. En la figura 3.4 y 3.5 se muestra el uso de la herramienta Nmap, y en la figura 3.6 el uso de la herramienta IpSecScan.

    Figura 3.4: Uso de Zmap/Nmap.

    Figura 3.5: Uso de Zmap/Nmap.

    Figura 3.6: Uso de IpSecScan.

    Para la obtencin de contraseas se cuentas de usuarios se utiliz Cain. Su efectividad se muestra en la figura 3.7.

    Figura 3.7: Uso de Cain.

    3.4.3.

    Fase III: Informe. Es el documento donde ese especifican cada una de las

    vulnerabilidades detectadas y las contramedidas sugeridas. Se compone especficamente de un resumen ejecutivo, el detalle de las pruebas realizadas, los resultados obtenidos y las recomendaciones. A continuacin se presenta el informe final como producto del hackeo tico realizado a la Intranet 1000 Mil Bordados. El informe final del hackeo tico realizado a la empresa 1000 Mil Bordados, se encuentra en el ANEXO 11.

    CONCLUSIONES. La seguridad informtica es un proceso continuo y degradable con el tiempo, debido principalmente al exponencial crecimiento y evolucin de la tecnologa, aparecimiento de nuevos bugs en las aplicaciones, incorporacin de nuevos servicios y rotacin del personal. Hacker es un trmino que los medios de comunicacin han utilizado para referirse al conjunto de individuos que existen en Internet, lo que ha conllevado que todo ataque o delito informtico, intento o xito de intrusin, etc. se le generalice y atribuya al hacker. No obstante esto actos son efectuados por crackers, piratas y delincuentes informticos. El hackeo tico es un proceso que aparece como una alternativa de solucin a los grandes problemas de seguridad informtica y se basa en el hecho de vulnerar para proteger. Sin embargo esta no es la nica tcnica que debe utilizarse para asegurar un sistema o red informtica. La mayor parte de la informacin y las herramientas requeridas para la realizacin de un proceso de hackeo estn abiertamente disponibles en Internet, es por eso que los hackeos crecen a un nivel exponencial. El preparar hackers ticos tiene como fin especfico contrarrestar el dao que puede causar un hacker malicioso, mediante la deteccin y correccin de las vulnerabilidades antes de que sean explotadas. Actualmente una de las vulnerabilidades ms comunes son las contraseas, principalmente debido al hecho de que existen innumerables herramientas de software que craquean los algoritmos de encriptacin a libre disposicin en Internet, por la falta de polticas en la utilizacin de contraseas, y porque la ingeniera social desarrollada por los hackers persuaden fcilmente a los empleados de las empresas y organizaciones a divulgar esta informacin. Todas las metodologas de hackeo tico son similares en su estructuracin, los trminos utilizados pueden variar, no obstante no dejan de tener la misma esencia. Una metodologa muestra el camino a seguir para efectuar un proceso de hackeo tico eficiente.

    RECOMENDACIONES. El proceso de hackeo tico debe ser realizado por personal externo a los tcnicos de la empresa, por la imparcialidad, experiencia, experticia, y posesin de herramientas que poseen los profesionales o empresas que ofrecen servicios de seguridad informtica utilizando procesos de hackeo tico. Para la contratacin de los servicios de un proceso de hackeo tico es fundamental corroborar el perfil de los profesionales, mediante la solicitud de certificaciones, y referencias. Es necesario que se adopten como polticas de seguridad en las empresas y organizaciones, la implementacin de un proceso de hackeo tico que se lleve a cabo varias veces durante el ao, y la adecuada administracin de contraseas poco predecibles y de cambio peridico. Es conveniente utilizar las ltimas actualizaciones o versiones de las aplicaciones, ya que tendrn las ms recientes vulnerabilidades subsanadas sobre todo para los servicios DNS, WEB, FTP, NFS Y NETBIOS. Obviamente tendrn otros agujeros, pero los hackers tardarn ms en encontrarlos. Es importante concientizar continuamente a los usuarios y administradores sobre las tcnicas de ingeniera social que los hackers utilizan, para prevenir que cualquier informacin valiosa sea ingenuamente revelada y que ponga en riesgo el sistema de seguridad informtico. Monitorizar las brechas de seguridad es ms importante que prevenirlos, ya que es imposible hacer un equipo seguro al 100%, siempre habr un agujero para acceder al sistema. Por tanto solo al monitorizar se puede detectar la entrada de un hacker y remediarlo. En toda prueba de intrusin el reconocimiento o recopilacin de informacin es la fase inicial y emplea mayor cantidad de tiempo, pues debe ser exhaustiva e intuitiva, ya que las fases posteriores sern subsecuentes con la cantidad de informacin obtenida en la fase inicial y de ello dependern los resultados, esto quiere decir que la cantidad de informacin recopilada es directamente proporcional a los resultados obtenidos.

    GLOSARIO DE TRMINOS. A AJAX.- (JavaScript asncrono y XML), tcnica de desarrollo web para crear aplicaciones interactivas, que se ejecutan en el cliente. B Bug.- Defecto de software, resultado de un fallo o deficiencia durante el proceso de creacin de programas de ordenador o computadora (software). C Crack.- Inclusin de lneas de cdigo en los archivos de registro del software que impide que dicho programa caduque, o localizacin del nmero de serie del programa, mediante un generador de nmeros de serie. CRT.- Dispositivo de visualizacin empleado principalmente en monitores, televisiones y osciloscopios. D Denegacin de servicios (DoS).- Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. DMZ.- Zona Desmilitarizada, red interna separada de la red pblica. E Esteganografa.- Proceso de esconder datos en imgenes. Exploits.- Pequeo software, o fragmento de datos, o secuencia de comandos que automatiza el aprovechamiento de un error, fallo o vulnerabilidad. Escner de puerto.- Programa que llama a cada puerto (un total de 65.535) para comprobar cules estn abiertos para acceder a una red

    I IDS.- Sistema de Deteccin de Intrusin, software o dispositivo que analiza todo el trfico de una red. Ingeniera social.- Manipulacin de usuarios para obtener informacin condencial como contraseas. K Keylogging.-Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a travs de internet. L LCD.- Es una pantalla de cristal lquido, delgada y plana, se utiliza en dispositivos electrnicos de pilas, ya que utiliza cantidades muy pequeas de energa elctrica. Log.- Registro de datos o informacin sobre quin, que, cuando, donde y porque un evento ocurre para un dispositivo en particular o aplicacin LDAP.- Protocolo Ligero de Acceso a Directorios, permite el acceso a un servicio de directorio ordenado y distribuido para buscar informacin en un entorno de red. P Parche.- Programa para resolver la vulnerabilidad de una aplicacin o sistema PBX.- Central telefnica conectada directamente a la red pblica de telfono para gestionar, las llamadas internas, las entrantes y/o salientes con autonoma sobre cualquier otra central telefnica. P2P.- Es una red de computadoras en la que todos o algunos aspectos de sta funcionan sin clientes ni servidores fijos, permiten el intercambio directo de informacin, en cualquier formato, entre los ordenadores interconectados. R

    Rootkits.- Herramienta, o un grupo de ellas que tiene como finalidad esconderse a s misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos. S Sniffer.- Programa que permite monitorear una red, y capturar paquetes de la misma, permite tambin la deteccin de fallos de seguridad SOA.- (Arquitectura orientada a servicio), arquitectura de software que define la utilizacin de servicios para dar soporte a los requisitos del negocio SOAP.- Protocolo Simple de Acceso a Objetos, protocolo estndar que define cmo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. Spam.- bombardeo publicitario. Es un envo masivo, indiscriminado y no solicitado de publicidad a travs del correo electrnico. T TEMPEST.- Estudios e investigaciones sobre las emanaciones que emiten los equipos elctricos y electrnicos, y que, si son interceptadas y analizadas, pueden revelar informacin procesada por dichos equipos. U UDDI.- Descripcin, Descubrimiento e Integracin Universal, son las siglas del catlogo de negocios de Internet. UDDI es uno de estndares bsicos de los servicios web. W WSDL.-Lenguaje de descripcin de servicios web, se basa en XML y describe la forma de comunicacin, es decir, los requisitos del protocolo y los formatos de los mensajes necesarios para interactuar con los servicios listados en su catlogo.

    BIBLIOGRAFA. 1. CABALLERO QUESADA, Alonso Eduardo: Hacking tico utilizando BackTrack, 2009, www.lpmagazine.org 2. CHAPELA, Vctor: Taller Hackeo tico, SM4RT SECURITY SERVICES, http://74.125.93.132/search?q=cache:LEvM5tr7DOUJ:unidadlocal.com/crackwifi /hackeo-etico.ppt, 3. DE LA CUADRA, Fernando: Vacaciones Seguras en Internet, Linux+; 2009, www.lpmagazine.org 4. ESCAO, Mariela Alicia: tica hacker,

    http://www.monografias.com/trabajos71/ethical-hackeo-test-intrusionmetodologias/ethical-hackeo-test-intrusion-metodologias.shtml 5. GARCA MORALES, Lino: El Arte de la Seguridad, 2009, www.lpmagazine.org 6. HERNNDEZ, Claudio: Los Clanes de la Red 2000, Espaa, 1999. 7. ISECOM, OSSTMM 2.1: Manual de la Metodologa Abierta de Evaluacin de Seguridad: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf, versin en espaol, 2003. 8. ISECOM, OSSTMM 2.2: Open-Source Security Testing Methodology Manual: http://www.isecom.org/mirror/osstmm.en.2.2.zip, 2006. 9. ISECOM: OSSTM 3.0 LITTLE Introduction and Sample to the Open Source Security Testing Methodology Manual:

    http://www.isecom.org/mirror/OSSTMM_3.0_LITE.pdf, 2008. 10. ISECOM, OSSTMM 3: The Open Source Security Testing Methodology Manual: http://www.isecom.org/mirror/OSSTMM.3.Sampler.pdf, 2008. 11. MASOERO, Pablo: Hacking tico, Baicom Networks, 2006, 12. MENNDEZ MNDEZ, Maikel y BOLUFE Mallelin: Hacking tico. Test de intrusin. Principales metodologas, La Habana, 2009,

    http://www.monografias.com/trabajos59/etica-hacker/etica-hacker.shtml 13. OISSG: Information Systems Security Assessment Framework (ISSAF) draft 0.2, 2006: http://www.sec-track.com/issaf-information-system-security-

    assessment-framework 14. OWASP Fundation: Gua de Pruebas OWASP versin 3.0, 2008:

    http://www.4shared.com/file/117819367/acd0e268/Gua_de_pruebas_de_OWAS P_ver_30.html 15. PEKKA, Imanen: La tica del hacker y el espritu de la era de la informacin, http://www.edicionessimbioticas.info/La-etica-del-hacker-y-el-espiritu. 16. PUENTE CASTRO, David: Anlisis de Seguridad, Linux+, 2009,

    www.lpmagazine.org. 17. PUENTE CASTRO, David: Un viaje en la historia del Hacking, Linux+, 2009, www.lpmagazine.org. 18. RACCIATTI, Hernn Marcelo: Revista: @rroba #94, Septiembre 2005: http://www.hernanracciatti.com.ar 19. VILA BALDERAMA, Martn Julio: ISEC Information Security Inc.,

    http://www.cert.uy/archivos/ISEC_PRESENTACION_AGESIC_2009_MARTIN_ VILA_JULIO_BALDERRAMA.pdf 20. WIKIPEDIA: Seguridad Informtica, Versin en espaol, 2009,

    http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n.

    ANEXOS

    CONTENIDO DE ANEXOS ANEXO 1: Lista de las mejores prcticas contenidas en Seguridad Perfecta. ANEXO 2: Tareas de la identificacin de los servicios de sistemas. ANEXO 3: Tareas de la Evaluacin de Aplicaciones de Internet ANEXO 4: Tareas de la evaluacin de polticas de seguridad ANEXO 5: Plantillas de informes de OSSTMM ANEXO 6: Referencias de Evaluacin ANEXO 7: Lista de comprobaciones de OWASP ANEXO 8: Operadores especiales para bsquedas avanzadas en Google. ANEXO 9: Determinando la severidad de un riesgo mediante el mtodo repetitivo ANEXO 10: Tabla de reporte del informe final de pruebas ANEXO 11: Informe Final de Hackeo tico

    ANEXO 1 Lista de las mejores prcticas contenidas en Seguridad Perfecta.

    CATEGORA Servicio y Acceso a Internet

    Computacin Mvil

    Aplicaciones

    Personal

    Mejores Prcticas No usar Acceso Remoto no encriptado. No usar Acceso Remoto no autenticado Las restricciones deniegan todo y permiten especficos. Monitorearlo y registrarlo todo. Descentralizar. Limitar la confianza entre sistemas. Poner en cuarentena las entradas y validarlas. Instalar nicamente las aplicaciones / servicios requeridos. Dividir capas de seguridad. Es mejor ser invisible - mostrar nicamente el servicio, nada ms. La simplicidad previene los errores de configuracin. Poner en cuarentena todas las redes entrantes y trafico de Internet No usar Acceso Remoto no encriptado. No usar Acceso Remoto no autenticado. Encriptacin acorde a las necesidades. Instalar las aplicaciones y/o servicios necesarios. Es mejor invisible - sin servicios ejecutndose. Exigir contraseas en BIOS Entrenamiento en seguridad para aplicar las mejores prcticas y reconocer los eventos de seguridad es requisito para usuarios y personal de soporte. El uso de las caractersticas de seguridad debe ser una obligacin. Asegurar las justificaciones de negocio para todas las entradas y salidas en una aplicacin. Validar todas las entradas Limitar confianzas (a sistemas y usuarios). Encriptar datos. Encriptar los componentes. Todas las acciones ocurren del lado del servidor. Definir capas de seguridad. Es mejor invisible - mostrar nicamente el servicio. Accionar alarmas Autoridad Descentralizada. Responsabilidad Personal. Seguridad Personal y controles de privacidad. Accesible nicamente por medio de gateway personales. Entrenamiento en definiciones legales y tica de las polticas de seguridad Acceso al conocimiento de informacin e infraestructura limitado. Lista de buenas prcticas de Seguridad Perfecta

    ANEXO 2 Tareas de la identificacin de los servicios de sistemas.


    Enumeracin de sistemas Recoger respuestas de broadcast desde la red Intentar traspasar el firewall con valores estratgicos de TTLs para todas las direcciones IP. Emplear ICMP y resolucin inversa de nombres para determinar la existencia de todos los sistemas en la red. Emplear paquetes TCP con puerto origen 80 y el bit ACK activo en los puertos de destino 31003150, 1001-10050, 33500-33550 y 50 puertos aleatorios por encima del 35000 para todos los sistemas de la red. Emplear paquetes TCP fragmentados en orden inverso mediante escaneos FIN, NULL y XMAS en los puertos destino 21, 22, 25, 80 y 443 para todos los servidores de la red. Usar escaneos TCP SYN sobre los puertos 21, 22, 25, 80 y 443 para todos los servidores de la red. 18. Identificar la predictabilidad de los nmeros de secuencia TCP ISN. Emplear intentos de conexin a DNS para todos los servidores de la red. Emplear FTP y Proxies para relanzar los escaneos al interior de la DMZ para los puertos 22, 81, 111, 132, 137 y 161 para todos los servidores de la red. Enumeracin de Puertos Usar escaneos SYN TCP (Half-Open) para enumerar puertos abiertos, cerrados o filtrados para aquellos puertos TCP utilizados por defecto en el test, en todos los servidores de la red. Usar escaneos TCP full connect para escanear todos los puertos por encima del 1024 en todos los servidores de la red. Usar escaneos TCP fragmentados en orden inverso para enumerar puertos y servicios para el conjunto de puertos definidos en el anexo 7 por defecto para todos los servidores de la red. Usar escaneos UDP para enumerar puertos abiertos o cerrados para los puertos UDP por defecto si UDP no est siendo filtrado. Verificar y examinar el uso de TCP e ICMP sobre IPV6. Relacionar cada puerto abierto con un servicio y protocolo. Identificar el nivel de parcheado del sistema a partir de su up-time. Identificar la aplicacin tras el servicio y su nivel de parcheado empleando los banners o la identificacin de huellas. Identificacin de Servicios Relacionar cada puerto abierto con un servicio y protocolo. Identificar el nivel de parcheado del sistema a partir de su up-time Identificar la aplicacin tras el servicio y su nivel de parcheado empleando los banners o la identificacin de huellas. Verificar la aplicacin y su versin en el sistema Localizar e identificar el remapeo de servicios o la redireccin de sistemas. Usar peticiones propias de Troyanos y servicios UDP en todos los sistemas de la red. Identificacin de Sistemas Examinar las respuestas de los sistemas y las aplicaciones para determinar el tipo de sistema operativo y su nivel de parcheado Verificar la prediccin de secuencia TCP para todos los servidores de la red. Buscar ofertas de trabajo donde obtener informacin sobre los servidores y aplicaciones del objetivo. Buscar en boletines tcnicos y grupos de noticias informacin sobre los servidores y las aplicaciones del objetivo. Identificacin de los Sistemas de Servicios

    ANEXO 3 Tareas de la Evaluacin de Aplicaciones de Internet


    Re-Ingeniera Descomponer o Deconstruir los cdigos binarios, si es posible. Determinar las Especificaciones de Protocolo de la Aplicacin Cliente/Servidor Adivinar la lgica del programa de los mensajes de error/debug en las salidas del programa y en el rendimiento y comportamiento del programa. Autenticacin Buscar las posibles combinaciones de contraseas por fuerza bruta en las aplicaciones. A ser posible, buscar credenciales de cuentas vlidas por fuerza bruta. Saltarse el sistema de autenticacin con una validacin cambiada Saltarse el sistema de autenticacin reproduciendo informacin de la autenticacin Determinar la lgica de la aplicacin para mantener las sesiones de autenticacin - nmero (consecutivo) de intentos fallidos, intentos fuera de tiempo, etc. Determinar las limitaciones de control de acceso en las aplicaciones - permisos de acceso, duracin de las sesiones, tiempo inactivo. Administracin de Sesiones Determinar la Informacin de Administracin de Sesiones, numero de sesiones concurrentes, autenticaciones basadas en IP, Autenticacin basada en roles, Autenticacin basada en Identidad, uso de Cookies, ID de sesin dentro de las secuencias de codificacin de la URL, ID de sesin en campos HTML ocultos, etc. Adivinar la secuencia y formato de la ID de sesin. Determinar si la ID de sesin est formada con informacin de direcciones IP; mirar si la misma informacin de sesin puede ser recuperada y reutilizada en otra mquina. Determinar las limitaciones de mantenimiento de sesin - uso del ancho de banda, limitaciones de bajadas/subidas de archivos, limitaciones en transacciones, etc. Reunir bastante informacin con URL's exactas, instrucciones exactas, secuencias de accin / saltos de secuencia y/o omisiones de las pginas. Reproducir la informacin reunida para engaar a las aplicaciones. Manipulacin de la informacin de entrada. Encontrar las limitaciones de las variables definidas y de los protocolos - longitud de datos, tipo de datos, formato de la estructura.etc. Usar cadenas largas de caracteres para encontrar vulnerabilidades de desbordamientos de memoria en las aplicaciones. Concatenar comandos en las cadenas de entrada de las aplicaciones. Inyectar comandos SQL en las entradas de cadenas de caracteres de aplicaciones web basadas en bases de datos. Examinar vulnerabilidades "Cross-Site Scripting" en las aplicaciones web del sistema. Examinar accesos a directorios/ficheros no autorizados con directorios/rutas trasversales en las entradas de cadenas de caracteres de las aplicaciones. Usar cadenas especficas de codificacin URL y/o codificacin Unicode para saltarse los mecanismos de validacin de las aplicaciones. Ejecutar comandos remotos a travs de "Server Side Include". Manipular el estado de las cookies (session/persistent) para tirar o modificar la lgica dentro de las aplicaciones web "server-side". Manipular los campos variables (ocultos) en los formularios HTML para tirar o modificar la lgica en las aplicaciones web "server inside". Manipular las variables "Referrer", "Host", etc. del protocolo HTTP para tirar o modificar la lgica en

    las aplicaciones web "server inside". Usar informacin de entrada ilgica/ilegal para testear las rutinas de error de la aplicacin y encontrar mensajes de error/depuracin que sean tiles Manipulacin de la Informacin de salida Recuperar informacin importante/comprometedora guardada en las cookies. Recuperar informacin importante/comprometedora Recuperar informacin importante/comprometedora guardada en los objetos con nmero de serie. Recuperar informacin importante/comprometedora guardada en los archivos temporales y objetos. Filtracin de informacin Buscar informacin utilizable en campos ocultos de variables en formularios HTML y comentarios en los documentos HTML. Examinar la informacin contenida en los banners de la aplicacin, instrucciones de uso, mensajes de bienvenida, mensajes de despedida, mensajes de ayuda, mensajes de error/depuracin, etc. Lista de la Evaluacin de Aplicaciones de Internet

    ANEXO 4 Tareas de la evaluacin de polticas de seguridad


    TAREAS Comparar la poltica de seguridad contra el estado actual de la presencia en Internet. Aprobacin de la gerencia: Buscar cualquier signo que indique que la poltica est aprobada por la gerencia, caso contrario, la poltica no tiene valor porque el personal no tiene la obligacin de seguirla. Documentacin: Asegurar de que la documentacin est adecuadamente almacenada, ya sea electrnicamente o en otros medios, y que la poltica ha sido leda y aceptada por el personal. Identificar los procedimientos de manejo de incidentes, para asegurarse de que las brechas de seguridad son manejadas por las personas adecuadas y que son reportadas de manera apropiada. Conexiones entrantes: Verificar los riesgos que tienen relacin directa con las conexiones entrantes de Internet, y las medidas que son necesarias implementar para reducir o eliminar dichos riesgos. Estos riesgos pueden ser darse en conexiones entrantes SMTP, POP3, HTTP, HTTPS, FTP, VPNs y las medidas como esquemas de autenticacin, encriptacin y ACLs. Conexiones salientes: Las conexiones salientes pueden producirse entre la red interna y DMZ, as como tambin entre la red interna e Internet. Busque cualquier regla de conexiones salientes que no se corresponda con la implementacin. Las conexiones salientes no pueden ser usadas para introducir cdigo malicioso o revelar las especificaciones de la red interna. Medidas de seguridad: Las reglas que exigen la implementacin de medidas de seguridad, deben ser cumplidas. Aquellas pueden hacer uso de AVS, IDS, cortafuegos, DMZs, routers y las configuraciones/implementaciones adecuadas de acuerdo con los riesgos a contrarrestar. Mdems: Debe existir una regla que indique que el uso de mdems que no estn especialmente asegurados est prohibido o al menos slo permitido si los mdems estn desconectados cuando no se encuentran en uso, y configurados para no permitir el marcado. Mquinas de Fax: Debe existir una regla que indique que el uso de las mquinas de fax que pudiera permitir acceso desde el exterior a la memoria de las mquinas, est prohibido o al menos slo permitido si las mquinas son apagadas cuando no se las utiliza. Verifique tanto si la regla correspondiente existe como si la implementacin sigue los requisitos. PBX: Debe existir una regla que indique que la administracin remota del sistema PBX est prohibida o al menos slo permitida si las mquinas son apagadas cuando no se las utiliza. Verificar que la poltica de seguridad establezca las medidas contra tcnicas de ingeniera social Tareas de la evaluacin de polticas de seguridad

    ANEXO 5 Plantillas de informes de OSSTMM Reporte del testeo de seguridad.

    Reporte del Test de Seguridad15

    15

    ISECOM: OSSTM 3.0 LITTLE: http://www.isecom.org/mirror/OSSTMM_3.0_LITE.pdf, 2008, pg.43.

    Plantilla de perfil de red.


    Rangos de IP que sern testeados y detalle de dichos rangos Informacin de los dominios y su configuracin Informacin destacada de la transferencia de zonas

    LISTA DE SERVIDORES
    Direccin IP Nombre(s) de Dominio Sistema Operativo

    Plantilla de perfil de red.

    Plantilla de Datos del servidor


    Direccin IP Puerto Nombre de dominio Protocolo Servicio Detalle del Servicio

    MENSAJES DE BIENVENIDA
    Puerto Protocolo Mensaje de Bienvenida

    SECUENCIAS TCP
    Prediccin de secuencia TCP: Nmeros de secuencia ISN TCP: Generacin de secuencias IPID: Tiempo operacional

    PREOCUPACIONES Y VULNERABILIDADES
    Preocupacin o Vulnerabilidad Ejemplo Solucin

    Plantilla de Datos del Servidor

    Plantilla de ingeniera social sobre el objeto


    Nombre Correo electrnico Telfono Descripcin

    Plantilla de Ingeniera Social sobre el objeto

    Plantilla de ataques a contraseas


    ARCHIVO PROTEGIDO
    Nombre de archivo Tipo de archivo Tiempo de duracin del ataque Nombre de usuario Contrasea

    ARCHIVO DE CONTRASEA CODIFICADO


    Direccin IP Puerto de Servicio Tipo de Servicio Protocolo Nombre del Fichero Tiempo de ataque Nombre de usuario Contrasea

    SERVICIO EN LNEA PROTEGIDO


    Direccin IP Puerto de Servicio Tipo de Servicio Protocolo Nombre de usuario Contrasea Plantilla de ataques a contraseas

    Plantilla de Denegacin de Servicio (Denial of Service)


    EVALUACIN DEL SISTEMA
    Direccin IP Puerto de servicio Tipo de Servicio Protocolo Descripcin del Test Respuesta del Test

    EVALUACIN DE PROCESOS
    Proceso Personas Ubicacin Hora/Fecha Descripcin del Test Respuesta del Test Plantilla de DoS

    Plantilla de Ingeniera Social


    COMPAA
    Nombre de la Compaa Direccin Telfono Pgina Web Productos y Servicios Contactos Principales Departamentos y Responsabilidades Ubicacin de las oficinas Socios Regulaciones de la compaa Informacin sobre polticas de seguridad Tradiciones de la compaa Publicacin de ofertas de trabajo Disponibilidad de empleos temporales Riesgos tpicos de IT PERSONAS Informacin de Empleados Nombre y cargos de empleados Posicin del empleado en la jerarqua Pginas personales del empleado Mtodos de contacto del empleado Pasatiempos de empleados Datos en Internet de empleado Opciones que ha expresado el empleado Familiares y amigos del empleado Valores y prioridades del empleado Hbitos sociales del empleado Patrn de habla y forma de halar del empleado Gestos y maneras del empleado EQUIPAMIENTO Equipamiento utilizado Servidores, nmero y tipo Estaciones de trabajo, nmero y tipo Programas utilizados y versiones Nombres de host utilizados Topologa de red Capacidades anti-virus Recursos usados para proteccin de la red (con versiones software) Recursos usados para acceso remoto (incluso conexin por mdem) Routers utilizados con versiones de software) Tecnologa utilizada para el control de acceso fsico Ubicacin de los verteros de desechos utilizados Plantilla de Ingeniera Social

    ANEXO 6 Referencias de Evaluacin SAP27.- son diversas extensiones que se utilizan para hacer llegar cdigo malicioso a diversos sistemas de correo electrnico y navegadores.
    EXTENSIN .ade .adp .bat .chm .cmd .com .cpl .crt .eml .exe .hpl .hta .inf .ins .jpg .isp .js .jse .mdb .mde .msc .msi .msp .mst .pcd .pif .reg .scr .sct .shb .shs .url .vb .vbe .vbs .wav .wsc .wsf .wsh DESCRIPCIN Extensin de Microsoft de Access Project Microsoft Acceso Project Archivo Batch Archivo de HTML Compilado Comando de Microsoft Windows NT Programa de Microsoft MS-DOS Extensin del Panel de Control Certificado de Seguridad Correo de Outlook Express Programa Ejecutable Archivo de Ayuda Programa HTML Informacin de Configuracin Servicios de Nombres de Internet Imagen JPEG Configuracin de comunicaciones de Internet Archivo JScript Archivo de JScript codificado Programa Microsoft Access Base de Datos Microsoft Access MDE Documento de Microsoft Common Console Paquete de instalacin de Microsoft Windows Parche de Instalador de Microsoft Windows Archivos de cdigo fuente de Microsoft Visual Test Cdigo Compilado de Microsoft Visual, Imagen de Photo CD Acceso Directo a un programa de MS-DOS Entrada de registro Protector de pantalla Componente de Windows Script Objeto Shell Scrap Objeto Shell Scrap Pgina HTML Archivo VBScript Archivo de VBScript codificado Archivo VBScript Archivo de sonido Componente de Windows Script Archivo de Windows Script Archivo de configuracin de Windows Script Host Lista de extensiones de uso para ingreso de cdigo malicioso

    ANEXO 7 Lista de comprobaciones de OWASP


    CATEGORA Recopilacin de informacin
    NM. DE REF. OWASP-IG-001 OWASP-IG-002 OWASP-IG-003 OWASP-IG-004 OWASP-IG-005 OWASP-IG-006 OWASP-CM-001

    OWASP-CM-002 OWASP-CM-003

    Pruebas de gestin de Configuracin

    NOMBRE Spiders, robots y crawlers Descubrimiento/reconocimiento mediante motores de bsqueda Identificacin de puntos de acceso a la aplicacin Pruebas de firma digital Descubrimiento de aplicaciones Anlisis de cdigo de error Pruebas SSL/TTL(SSL versin, algoritmos, longitud de claves, validez de certificado digital) Prueba de DB Listener Prueba de gestin de configuracin de infraestructura Pruebas de gestin de configuracin de aplicacin Pruebas del gestor de extensin de ficheros Antiguo backup y ficheros no referenciados Interface de administracin de aplicacin e infraestructura Prueba de mtodos http y XST Transporte de credenciales sobre canal de cifrado Prueba de enumeracin de usuarios Prueba de deteccin de cuenta de usuario adivinables Prueba de fuerza bruta Pruebas para evitar el esquema de autenticacin Prueba de recordatorio de contraseas y restablecimientos

    Vulnerabilidad

    Exposicin de informacin Dbil implementacin de SSL Debilidad de BD Listener Debilidad de gestin de configuracin de infraestructura Debilidad de gestin de configuracin de aplicacin Debilidad del gestor de extensin de ficheros Antiguo backup y ficheros no referenciados Acceso a interface de administracin Mtodos http habilitados, XST permitidos Transporte de credenciales sobre canal de cifrado Enumeracin de usuarios Cuentas de usuario adivinables Credenciales dbiles Evitar autenticacin Vulnerabilidad recordatorio de contrasea y debilidad de restablecimiento de contrasea Funcin de cierre de sesin no implementada correctamente, debilidad en la cach de informacin Debilidad en la implementacin de CAPTCHA Debilidad en autenticacin de mltiples factores Vulnerabilidad de condiciones de carrera Bypassing Session Management Schema Cookies definidos como http

    OWASP-CM-004 OWASP-CM-005 OWASP-CM-006 OWASP-CM-007 OWASP-CM-008 OWASP-AT-001 OWASP-AT-002 OWASP-AT-003 OWASP-AT-004 OWASP-AT-005

    Pruebas de autenticacin

    OWASP-AT-006

    OWASP-AT-007

    Prueba de cierre de sesin y gestin de cach de navegacin

    OWASP-AT-008

    Prueba de CAPTCHA

    OWASP-AT-009 OWASP-AT-010 OWASP-SM-001

    Prueba de autenticacin de mltiples factores Prueba de condiciones de carrera Prueba del Esquema de Gestin de sesiones Prueba de atributos de cookies

    Gestin de sesiones

    OWASP-SM-002

    OWASP-SM-003 OWASP-SM-004 OWASP-SM-005 OWASP-AZ-001 OWASP-AZ-002 OWASP-AZ-003 OWASP-DV-001 OWASP-DV-002 OWASP-DV-003 OWASP-DV-004 OWASP-DV-005 OWASP-DV-006 OWASP-DV-007 OWASP-DV-008 OWASP-DV-009 OWASP-DV-010 OWASP-DV-011 OWASP-DV-012 OWASP-DV-013 OWASP-DV-014 OWASP-DV-015 OWASP-DV-016 OWASP-DS-001

    Pruebas de autorizacin

    Pruebas de validacin de datos

    Pruebas de Denegacin de Servicio

    OWASP-DS-002 OWASP-DS-003 OWASP-DS-003 OWASP-DS-004

    Prueba de fijacin de sesin Prueba de variables de sesin expuestas Prueba de CSRF Prueba de ruta transversal Prueba para evitar esquema de autorizacin Prueba de escalada de privilegios Prueba de XSS reflejado Prueba de XSS almacenado Prueba de XSS basado en DOM Prueba de XSS basado en Flash Inyeccin SQL Inyeccin LDAP Inyeccin ORM Inyeccin XML Inyeccin SSI Inyeccin XPath Inyeccin IMAP/SMTP Inyeccin de cdigo Inyeccin de comandos de sistema Desbordamientos de buffer Vulnerabilidades incubadas Prueba de http: splitting/smuggling Pruebas de ataques mediante comodines SQL Bloqueo de cuentas de usuario Prueba de DoS mediante desbordamiento de buffer Asignacin de objeto de usuario especificado Entrada de usuario como contador de bucle Prueba de escritura en discos por un usuario Fallos en la liberacin de recursos Almacenamiento excesivo en la sesin Recopilacin de informacin web Prueba de WSDL Pruebas estructurales de XML

    Fijacin de sesin Variables de sesin expuestas CSRF Ruta transversal Evitar esquema de autorizacin Escalado de privilegios

    Inyeccin SQL Inyeccin LDAP Inyeccin ORM Inyeccin XML Inyeccin SSI Inyeccin XPath Inyeccin IMAP/SMTP Inyeccin de cdigo Inyeccin de comandos de sistema Desbordamientos de bfer http: splitting/smuggling Vulnerabilidad de comodines SQL Bloqueo de cuentas de usuario Desbordamiento de buffer Asignacin de objeto de usuario especificado Entrada de usuario como contador de bucle Prueba de escritura en discos por un usuario Fallos en la liberacin de recursos Almacenamiento excesivo en la sesin Debilidad de WSDL Debilidad en la estructura XML XML a nivel de contenido Parmetros WS HTTP GET/REST Adjuntos SOAP maliciosos

    OWASP-DS-005 OWASP-DS-006 OWASP-WS-001 OWASP-WS-002 OWASP-WS-003

    Pruebas de servicios web

    OWASP-WS-004

    Pruebas de AJAX

    Comprobacin de XML a nivel de contenido OWASP-WS-005 Comprobacin de parmetros WS HTTP GET/REST OWASP-WS-006 Adjuntos SOAP maliciosos OWASP-WS-007 Pruebas de repeticin OWASP-AJ-001 Vulnerabilidades AJAX OWASP-AJ-002 Pruebas de AJAX Lista de comprobaciones de OWASP

    Pruebas de AJAX

    ANEXO 8 Operadores especiales para bsquedas avanzadas en Google.


    OPERADOR cache DESCRIPCIN Permite obtener una versin de una bsqueda anterior almacenada en cach, en lugar de realizar un nueva bsqueda. Busca pginas publicadas en cierto rango de fechas, pero funciona combinado con otro filtro de bsqueda. Muestra la definicin de un trmino especfico. Busca solo un tipo de archivo particular Busca el vnculo o texto de un hipervnculo Busca en los ttulos de documento Busca solamente con el URL(uniform resource locator) especfico de un documento Busca solo hipervnculos a una pgina especfica. Busca nmeros ignorando monedas y porcentajes. Busca solamente pginas alojadas en un servidor o dominio especfico. EJEMPLO cahe.unita.edu.ec

    daterange

    define filetype inanchor intitle inurl link numrange site

    hacker daterange:24521642452165 define:hacker filetype:pdf inanchor:unita intitle:index.aspx inurl:hacker link:www.unita.edu.ec numrange:12 20 site:unita.edu.ec

    Lista de operadores que permite bsquedas avanzadas en Google.

    ANEXO 9 Determinando la severidad de un riesgo mediante el mtodo repetitivo El primer paso es seleccionar una de las opciones asociadas con cada factor e introducir el nmero asociado en la tabla. Despus simplemente tomaremos la media de las puntuaciones para calcular la probabilidad de ocurrencia global. Por ejemplo:
    Factores correspondiente al agente causante de la empresa
    Nivel de Habilidad Motivo Oportunidad Tamao

    Factores asociados a la Vulnerabilidad


    Facilidad de Descubrimiento Facilidad de explotacin Concientizacin Deteccin de Intrusin

    Probabilidad de ocurrencia global = 4.375 (MEDIA) Ejemplo para clculo de probabilidad de ocurrencia

    A continuacin, necesitamos conocer el impacto global. En muchos casos la respuesta ser obvia, pero se puede hacer una estimacin basada en los factores, o calcular una media de las puntuaciones para cada una de los factores. De nuevo, menos que 3 se considera BAJO, de 3 a 6 MEDIO, y de 6 a 9 ALTO. Por ejemplo:
    Impacto Tcnico
    Prdida de Confidencial idad Prdida de Integridad Prdida de Disponibilidad Prdida de control de responsabilida d Dao Financiero

    Impacto sobre el Negocio


    Dao a la reputacin Inconformidad Violacin de Privacidad

    Impacto Tcnico global = 7.25 (ALTO)

    Impacto global sobre el negocio = 2.25 (BAJO)

    Impacto Global

    Determinando la severidad Como quiera que se haya llegado a la probabilidad de ocurrencia e impacto estimados, ahora se debe combinarlos para obtener una puntuacin final de la severidad para este riesgo.
    SEGURIDAD DEL RIESGO GLOBAL ALTO MEDIO Medio Bajo Alto Medio Crtico Alto

    IMPACTO

    BAJO BAJO

    Bajo MEDIO

    Medio ALTO

    Posibilidad e Ocurrencia Severidad del riego global

    En el ejemplo superior, la probabilidad de ocurrencia es MEDIA, y el impacto tcnico es ALTO, as que desde una perspectiva puramente tcnica, parece que la severidad global es ALTA. Sin embargo, el impacto sobre el negocio es BAJO, as que la severidad global se describe mejor tambin como BAJA. Es por ello que comprender el contexto en el negocio de las vulnerabilidades que se est evaluando es tan crtico para tomar buenas decisiones respecto al riesgo.

    ANEXO 10 Tabla de reporte del informe final de pruebas La siguiente tabla muestra un formato de que se debera considerar para la elaboracin del informe final de pruebas.
    Cat.
    Nm. Ref. OWASP-IG-001 OWASP-IG-002 OWASP-IG-003 OWASP-IG-004 OWASP-IG-005 OWASP-IG-006 OWASP-CM-001 Nombre Spiders, robots y crawlers Descubrimiento/reconocimiento mediante motores de bsqueda Identificacin de puntos de acceso a la aplicacin Pruebas de firma digital Descubrimiento de aplicaciones Anlisis de cdigo de error Pruebas SSL/TTL(SSL versin, algoritmos, longitud de claves, validez de certificado digital) Prueba de DB Listener Prueba de gestin de configuracin de infraestructura Pruebas de gestin de configuracin de aplicacin Pruebas del gestor de extensin de ficheros Antiguo backup y ficheros no referenciados Interface de administracin de aplicacin e infraestructura Prueba de mtodos http y XST Transporte de credenciales sobre canal de cifrado Prueba de enumeracin de usuarios Prueba de deteccin de cuenta de usuario adivinables Prueba de fuerza bruta Pruebas para evitar el esquema de autenticacin Prueba de recordatorio de contraseas y restablecimientos Prueba de cierre de sesin y gestin de cach de navegacin Prueba de CAPTCHA Prueba de autenticacin de mltiples factores Prueba de condiciones de carrera Prueba del Esquema de Gestin de sesiones Prueba de atributos de cookies Prueba de fijacin de sesin Prueba de variables de sesin expuestas Elementos afectados Conclusin Comentario/ solucin Riesgo

    Pruebas de gestin de Configuracin Pruebas de autenticacin Gestin de sesiones

    Recopilacin de informacin

    OWASP-CM-002 OWASP-CM-003 OWASP-CM-004 OWASP-CM-005 OWASP-CM-006 OWASP-CM-007 OWASP-CM-008 OWASP-AT-001 OWASP-AT-002 OWASP-AT-003 OWASP-AT-004 OWASP-AT-005 OWASP-AT-006 OWASP-AT-007 OWASP-AT-008 OWASP-AT-009 OWASP-AT-010 OWASP-SM-001 OWASP-SM-002 OWASP-SM-003 OWASP-SM-004

    OWASP-SM-005 OWASP-AZ-001 OWASP-AZ-002 OWASP-AZ-003 OWASP-DV-001 OWASP-DV-002 OWASP-DV-003 OWASP-DV-004 OWASP-DV-005 OWASP-DV-006 OWASP-DV-007 OWASP-DV-008 OWASP-DV-009 OWASP-DV-010 OWASP-DV-011 OWASP-DV-012 OWASP-DV-013 OWASP-DV-014 OWASP-DV-015 OWASP-DV-016 OWASP-DS-001

    Prueba de CSRF Prueba de ruta transversal Prueba para evitar esquema de autorizacin Prueba de escalada de privilegios Prueba de XSS reflejado Prueba de XSS almacenado Prueba de XSS basado en DOM Prueba de XSS basado en Flash Inyeccin SQL Inyeccin LDAP Inyeccin ORM Inyeccin XML Inyeccin SSI Inyeccin XPath Inyeccin IMAP/SMTP Inyeccin de cdigo Inyeccin de comandos de sistema Desbordamientos de buffer Vulnerabilidades incubadas Prueba de http: splitting/smuggling

    Pruebas de servicios web

    Pruebas de ataques mediante comodines SQL OWASP-DS-002 Bloqueo de cuentas de usuario OWASP-DS-003 Prueba de DoS mediante desbordamiento de buffer OWASP-DS-003 Asignacin de objeto de usuario especificado OWASP-DS-004 Entrada de usuario como contador de bucle OWASP-DS-005 Fallos en la liberacin de recursos OWASP-DS-006 Almacenamiento excesivo en la sesin OWASP-WS-001 Recopilacin de informacin web OWASP-WS-002 Prueba de WSDL OWASP-WS-003 Pruebas estructurales de XML OWASP-WS-004 Comprobacin de XML a nivel de contenido OWASP-WS-005 Comprobacin de parmetros WS HTTP GET/REST OWASP-WS-006 Adjuntos SOAP maliciosos OWASP-WS-007 Pruebas de repeticin OWASP-AJ-001 Vulnerabilidades AJAX OWASP-AJ-002 Pruebas de AJAX

    Pruebas de AJAX

    Pruebas de Denegacin de Servicio

    Pruebas de validacin de datos

    Pruebas de autorizacin

    Tabla del reporte del informe final

    ANEXO 11 INFORME FINAL DE HACKEO TICO D.M. Quito, 20 de marzo del 2010 Seores 1000 MIL BORDADOS. Presente.Resumen Ejecutivo. Este documento detalla las pruebas de intrusin realizadas a la Intranet de la empresa 1000 MIL BORDADOS, desde el 5 al 20 de marzo del 2010. El representante de la institucin antes mencionada, en su calidad de Gerente General conviene con Liliana Rodrguez Villacis, la ejecucin de un proceso de hackeo tico, que rene un conjunto de pruebas de intrusin simulando a un hacker interno y utilizando para ello todos los recursos y habilidades tcnicos necesarios. Durante el proceso se realizaron varias pruebas, que van desde la recoleccin de informacin crtica, escaneo de puertos, pruebas de intrusin para lograr accesos no autorizados, entre otras. Detalle de las pruebas realizadas. Las pruebas fueron realizas en funcin a lo que especifica la metodologa ISSAF, las cuales se presentan a continuacin: Sondeo de la red. Se utiliz software para identificar las direcciones IP y/o los nombres de los equipos. Con esta informacin fue posible hacerse una idea del mapa de la red. En esta fase se utiliz ping, nsloockup, Advanced IpScan y traceroute. Identificacin de Vulnerabilidades. En esta fase se identificaron los sistemas operativos, y los puertos abiertos con su respectivo servicio en cada uno de los equipos. Se escanearon para este efecto las IP desde la 192.168.0.1 hasta la 192.168.0.254. Se us: Nmap, Nessus, el comando bsico de red ping y Advanced IpSecScan.

    Para la deteccin automtica de vulnerabilidades se cont con Nessus, e ISS Internet Scanner. Penetracin, Obtencin de Acceso y Escalado de Privilegios. En este paso se utiliz el software: Cain y HHack, con los cuales se pudo obtener cuentas de usuario administrador y sus claves de acceso. Resultados Obtenidos. En la tabla 3.2 se muestran los resultados obtenidos con la utilizacin de las herramientas indicadas en las fases de sondeo de red e identificacin de vulnerabilidades.
    IP 192.168.0.1 PUERTOS ABIERTOS TCP 515 (IMPRESIN) TCP 80 (HTTP) Acepta conexiones telnet TCP 23(TELNET) Puede provocar desbordamiento de buffer, que permitira ejecucin de cdigo. 192.168.0.2 TCP 139 (NETBIOS) TCP 23(TELNET) 192.168.0.3 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Transferencia de archivos) 192.168.0.4 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Enumeracin de recursos compartidos Permite introducir archivos maliciosos al equipo. Enumeracin de recursos compartidos Acepta conexiones telnet Enumeracin de recursos compartidos Permite introducir archivos maliciosos al equipo. BUGS Acceso por el puerto HTTP para reiniciar Windows o instalar programas.

    Transferencia de archivos) 192.168.0.5 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 23(TELNET) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Transferencia de archivos) 192.168.0.6 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Transferencia de archivos) 192.168.0.201 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Transferencia de archivos) 192.168.0.207 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 1503(MSN: Compartir aplicaciones) TCP 6891(MSN: Transferencia de archivos) 192.168.0.254 TCP 445 (MICROSOFT-DS) TCP 139 (NETBIOS) TCP 80 (HTTP) TCP 23(TELNET) Enumeracin de recursos compartidos Acepta conexiones telnet Acceso por el puerto HTTP para reiniciar Windows o instalar programas. Enumeracin de recursos compartidos Permite introducir archivos maliciosos al equipo. Enumeracin de recursos compartidos Permite introducir archivos maliciosos al equipo. Enumeracin de recursos compartidos Permite introducir archivos maliciosos al equipo. Enumeracin de recursos compartidos Acepta conexiones telnet Permite introducir archivos maliciosos al equipo.

    Tabla de Resultados obtenidos del escaneo de puertos y deteccin de vulnerabilidades

    Recomendaciones: Una vez efectuadas las distintas pruebas, las recomendaciones para mejorar la seguridad en la intranet son las siguientes: Es importante adoptar y difundir polticas de seguridad de la informacin, en cuanto al uso de contraseas, stas deben tener una fecha de caducidad (tiempo de vida), incluir en las contraseas una combinacin adecuada de letras en maysculas y minsculas y nmeros, con una longitud mnima de seis u ocho caracteres. Las contraseas deben ser poco predecibles, evitando el uso de iniciales de nombres de empleados, nmeros de cdula, fechas, contraseas por defecto entre otros. Se recomienda utilizar algoritmos de encriptacin para Es conveniente utilizar un IDS para el monitoreo contante del trfico de la red, mediante el cual es posible la identificacin de intrusos, en caso de que los hubiere. Se debe mantener una estricta poltica de desinfeccin de dispositivos de almacenamiento externos, tales como flash memories, IPODs, discos externos, etc. antes de su utilizacin en los equipos. La actualizacin del antivirus debe ser diaria. Adems se recomienda la instalacin de antispywares en cada mquina. Se recomienda utilizar distintas cuentas de correo electrnico, una para cada efecto, por ejemplo al requerir personal utilizar una cuenta rrhh@gmail.com, al solicitar informacin especfica del negocio negocio@gmail.com, es decir mantener las cuentas de correo electrnico del personal, fuera del alcance de los spanmers. Configurar el firewall para que cumpla funciones de bloque de acceso por puertos abiertos. Realizar una mejor redistribucin y administracin de cuentas y grupos de usuarios, limitando los accesos y capacidades de configuracin en los equipos.

    Administrar cuentas de usuarios para el acceso a la base de datos, ya que es posible accesarla desde cualquier PC de la red.

    Instalar parches y actualizaciones de seguridad de los sistemas operativos, sera de bastante ayuda activar el servicio de Actualizaciones automticas de Windows, programando esta tarea a horarios de poco trfico de la red.

    Adoptar el hackeo tico como proceso peridico que ayude a mejorar el nivel de seguridad de la red, sin dejar de lado el efectuar una auditoria informtica completa por lo menos una vez al ao.

    Administrar el filtrado de contenido web a los equipos.

    Potrebbero piacerti anche