Seguridad1En el presente artículo se identifica y analiza el haching ético componente clave del test de seguridad que permite realizar los test de ataque y penetración legales con el objetivo de evaluar la fortaleza de las defensas en seguridad de información existentes en una organización sin producir daños en los sistemas atacados.

Actualmente la seguridad de red es uno de los problemas más urgentes y difíciles con los que se encuentran todo tipo de organizaciones privadas y públicas así como todos los gobiernos. Además del bombardeo diario de tráfico no deseado como escaneos de puertos de la red, todo tipo de virus (malware, adware, spyware, troyanos, gusanos, bots), herramientas de exploit, rootkits, ingeniería social, DoS, brechas accidentales, ataques automatizados y otros mecanismos no autorizados para obtener acceso, las organizaciones deben ser conscientes de la existencia de personal interno malicioso que puede utilizar portadoras digitales para, de forma secreta, robar-dispersar información sensible de la empresa cruzando el perímetro que se supone que protege la red corporativa. Las estadísticas del CERT acerca del número de incidentes de seguridad, de accesos no autorizados a sitios Web así como del tipo de incidente “intentos de hacking” respecto al total de incidentes crece de manera espectacular. Esto justifica el creciente uso del hacking ético a nivel internacional.


Cumplimientos. Política, estándar, procedimiento y guía de seguridad
La seguridad TIC realiza un papel crítico en la valoración del riesgo de una organización, para ello se utilizan test de penetración, análisis de vulnerabilidades, medidas de cumplimiento, etc. El cumplimiento puede ser: (i) Interno. Utilizando políticas y estándares, baselines de seguridad y configuración, códigos de buenas prácticas (como ISO 27002) y frameworks como COBIT, ISO, ITIL, NIST, GAISP. (ii) Externo. Utilizando SOX (Sarbanes Oxley) con framework COSO, HIPAA, PCI-DSS, Safe Harbor, etc. Las políticas de seguridad son el fundamento a la hora de aplicar el cumplimiento y gobierno TIC.
Una política es un conjunto de requisitos e instrucciones direccionales con objeto de proteger los valores, activos e inteligencia corporativa. Las políticas sirven como el fundamento para los estándares, procedimientos y guías relacionadas. Un estándar es un conjunto de prácticas y puntos de referencia utilizados para cumplir con los requisitos establecidos por adelantado en las políticas. Un estándar siempre debe ser una derivación de una política ya que es el segundo paso del proceso de propagación de la política de la compañía. Un procedimiento es un conjunto de instrucciones paso a paso para implementar los requisitos de la política y ejecutar las prácticas estándar. Una guía es un conjunto de consejos y buenas prácticas derivadas de las políticas y de los estándares. Las guías son opcionales, pero normalmente documentan parámetros bien conocidos, procesos y procedimientos bajo las que las políticas y estándares se implementaron con éxito.


Test de penetración y test de seguridad.
Herramientas utilizadas. Metodologías
Un test de penetración (también denominado hacking ético y white-hat-hacking o red-teaming) es un conjunto de métodos que permiten valorar el estado o actitud de seguridad de un sistema, red o empresa utilizando para ello una simulación no destructiva de diversos ataques. Se trata de un intento legal de acceder a la red de la empresa para encontrar sus eslabones más débiles, el que hace el test sólo reporta lo encontrado. Un test de seguridad es más que un intento de acceder, también incluye el análisis de la política y procedimientos de seguridad de la compañía, las personas que realizan el test ofrecen soluciones para securizar o proteger la red evaluada. Los protocolos de la pila TCP/IP más usuales (HTTP-Web, SMTP/POP3-IMAP4-correo electrónico, FTP, TELNET,…), utilizados en intranet, extranet e Internet, se diseñaron en una época en la que la seguridad no se tenía en cuenta, eso significa por ejemplo, según el CERT, que pasamos de seis incidentes de seguridad durante el año 1988 a un total de 137.529 incidentes durante el 2003.
Seguridad2Existen diversas razones para realizar un test de penetración: (i) Determinar los fallos-defectos y vulnerabilidades de una empresa. (ii) Proporcionar una métrica cuantitativa para poder evaluar sistemas y redes. (iii) Medir contra líneas de fondo pre-establecidas. (iv) Determinar riesgos para la organización. (v) Designar controles para mitigar los riesgos identificados.
En un test de penetración se pueden identificar las siguientes fases:
(1) Fase de preparación. El objetivo es: (i) Identificar objetivos: sitios Web de la compañía, servidores de correo, extranets, etc. (ii) Firmar el contrato. Se establece un acuerdo de protección contra cualquier cuestión legal. Los contratos especifican claramente los límites y peligros del test. Especificar los test DoS de ingeniería social, etc. Se debe especificar la ventana temporal de los ataques, el tiempo total del test. Se debe indicar el nivel de conocimiento previo de los sistemas y las personas claves a las que se les hace consciente del test. 
(2) Fase de footprinting. El objetivo del footprinting es: (i) Recoger el máximo de información sobre el objetivo: servidores DNS, rangos de IP, contactos administrativos y problemas revelados por los administradores. (ii) Utilizar fuentes de información: motores de búsqueda como Google; Forums; Bases de datos: whois, ripe, arin, apnic; herramientas: ping, whois, traceroute, DIG, nslookup, sam spade.
Seguridad3(3) Fase de descubrimiento, enumeración y fingerprinting. Se trata de: (i) Determinar los objetivos específicos. (ii) Identificar servicios y puertos UDP/TCP abiertos. (iii) Enumerar sistemas operativos utilizados. Para ello se utilizan métodos como: (i) Banner grabbing. (ii) Respuestas a comandos de protocolos varios (TCP y ICMP). (iii Escaneo de puertos/servicios: conexiones TCP, TCP SYN, TCP FIN, etc. Se utilizan herramientas como: Nmap (escáner de puertos/seguridad open-source, ver http:/insecure.org//), FScan, Hping, Firewalk, Netcat, tcpdump, ssh, telnet, Snmp Scanner. En resumen el objetivo es recoger y obtener información de la forma más sigilosa posible por ejemplo utilizando Nmap. Para ello se revisa la información de red y se confirma lo que se sabe de las redes.
(4) Fase de exploración e identificación de vulnerabilidades. Son posibles vulnerabilidades: (i) Configuración no segura. (ii) Contraseñas débiles. (iii) Vulnerabilidades sin parches en: servicios, sistemas operativos y aplicaciones. (iv) Vulnerabilidades posibles en servicios y sistemas operativos. (v) Programación no segura. (vi) Control de acceso débil. Se utilizan métodos como: (i) Para vulnerabilidades posibles y sin parches. Herramientas de detección y sitios Web de información de vulnerabilidades. (ii) Para contraseñas débiles: contraseñas por defecto, ataque por fuerza bruta y diccionario, ingeniería social, escucha del tráfico no cifrado (pop3, telnet, ftp, etc.). (iii) Para programación no segura: inyección SQL, escucha del tráfico. (iv) Para el control de acceso débil: uso de lógica de la aplicación e inyección SQL. Se utilizan herramientas como: (i) escáner de vulnerabilidades: Nessus (escáner de vulnerabilidades open-source, ver http/tenablesecurity.com/), ISS, SARA, SAINT. (ii) Escuchas de tráfico: Ethercap, Ethereal, tcpdump. (iii) Craqueadotes de contraseñas: JTR (John The Ripper), LC4, Pwdump. (iv) Interceptación de tráfico Web: Acholes, Whisker, Legion. Se utilizan sitios Web como: (i) Para vulnerabilidades y exposiciones comunes: http://cve.mitre.org. (ii) Bugtraq: http://www.securityfocus.com. (iii) Otros sitios Web de fabricantes. Entre los objetivos de esta fase esta el análisis de la configuración, se identifican y analizan los firewall/gateways.
Seguridad4(5) Fase de valoración, ataque y explotación de vulnerabilidades. El objetivo es obtener la máxima información del objetivo, ganar acceso normal, el escalado de privilegios, así mismo obtener acceso a otros sistemas conectados y utilizar DoS. Se realizan: (i) Ataques a la infraestructura de red: conectarse a la red a través de módem, identificar debilidades en TCP/IP, NetBIOS, realizar inundación de la red para causar DoS. (ii) Ataques a los sistemas operativos: ataque a los sistemas de autenticación, explotación de las implementaciones de los protocolos, explotación de las configuraciones no seguras, rotura de la seguridad del sistema de ficheros. (iii) Ataques a aplicaciones específicas: explotar implementaciones de protocolos de aplicación smtp, http, ganar acceso a las BDs de aplicación, inyecciones SQL, spamming (correo basura). (iv) Exploits: gratuitas de sitios Web de hackers y gratuitas a medida personalizadas. Se utilizan herramientas como Nessus y Metasploit Framework (lanza exploits a vulnerabilidades). En esta fase se comprueba la seguridad de los dispositivos. Para ello se aumenta el network mapping, se escanean los dispositivos en busca de vulnerabilidades y se explotan vulnerabilidades de seguridad que estén solas utilizando por ejemplo Metasploit.
(6) Fase de análisis de intrusiones y riesgos/impactos. El objetivo es realizar un análisis de escenario de la red y explo-tar las posibles exposiciones de la red.
(7) Fase de reporting. El objetivo es informar de todo lo obtenido y proponer soluciones de seguridad prácticas.
En un entorno TIC el modelo de test de penetración de seguridad consta de cuatro niveles, que de fuera hacia dentro son: (1) Nivel 1: ataques externos (usuario no informado). (2) Nivel 2: Ataques externos (usuario con conocimiento). (3) Nivel 3: Ataques internos. (4) Nivel 4: Ataques a las aplicaciones/bases de datos. 
Algunas herramientas utilizadas para el test de penetración son: (i) Nivel analizadores de tráfico: Ethereal, NAI Sniffer Pro, NetXray, EtherPeek, Solarwinds, Dolch Network. (ii) Nivel craqueo de contraseñas: L0pht Crack, John-The-Riper, Rainbow Tables. (iii) Nivel redes inalámbricas: AirSnort, Kismet, Netstumbler. (iv) Nivel herramientas de base de datos: ISS, Squirrel, IP Locks, AppDetective. (v) Nivel herramientas basadas en host: Bindview, ESM, ISS System Scanner, NetIQ. (vi) Nivel herramientas Web/aplicaciones: ScanDo, AppScan, Webinspect Whisker. (vii) Nivel war dialing: THG scan, TeleSweep. (viii) Nivel valoración de red: Nessus, ISS Internet Scanner, Foundscan, Retina, Typhon III. (ix) Nivel network mapping: NMAP, Ping, Visio. (x) Nivel recuperación de datos: CIS Scripts.
Para acceder a un servicio de exploración de puertos on-line se puede visitar el sitio Web: http://www.grc.com/x/ne.dll?
rh1dkyd2. Para someterse a un test de virus se puede visitar el sitio Web de EICAR: http://www.rexswain.com/eicar.html.
Se pueden identificar tres metodologías de test de penetración: (1) Modelo white-box. El que hace el test se le dice todo acerca de la topología y tecnología de la red, esta autorizado para entrevistar al personal de TIC y a los empleados de la compañía, esto hace el trabajo un poco más fácil. (2) Modelo black-box. El personal de la compañía no sabe nada acerca del test. El que hace el test no conoce los detalles de la red, su trabajo incluye averiguarlos. Aquí se comprueba si el personal de seguridad puede detectar un ataque. (3) Modelo gray-box. Es un modelo híbrido de los dos modelos anteriores.
Las compañías proporcionar al que hace el test cierta información parcial.
Consideraciones finales
Nuestro grupo de investigación lleva trabajado más de veinte años en el campo de la evaluación de riesgos de seguridad utilizando un creciente número de enfoques como los test de penetración, la gestión de intrusiones, las políticas de exploración de cumplimientos, etc.

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).

 

Autor:

Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.">Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Catedrático de la Facultad de Ingeniería. ESIDE.  Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .

 

 

Bibliografía

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2009.
- Areitio, J. “Análisis en torno a las tecnologías para el encubrimiento de información”. Revista Conectrónica. Nº 109. Julio-Agosto 2007.
- Areitio, J. “Análisis en torno a la seguridad forense, técnicas antiforenses, respuesta a incidentes y gestión de evidencias digitales”. Revista Conectrónica. Nº 125. Marzo 2009.
- Cranor, L.F. and Garfinkel, S. “Security and Usability: Designing Secure Systems that People Can Use”. O’Reilly. 2005.
- Lininger, R. and Vines, R.D. “Phishing: Cutting the Identity Theft Line”. Wiley. 2005.

Más información o presupuesto

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn

Conectores Revista FTTH Electrónica industrial. Cursos de fibra Óptica, Seminarios Online, Noticias Tecnología y Ferias Tecnologicas,Cables y Conectores Industriales de Fibra Optica, Noticias Empresas, Osciloscopios y Herramientas, Centros de datos.