Cuando los administradores de red, ingenieros, y profesionales en seguridad entienden como los atacantes trabajan, pueden emular sus actividades realizando una útil prueba de penetración. ¿Pero quién querría emular un ataque?. Debido a ser la única manera de verdaderamente probar el nivel de seguridad del entorno, se debe conocer como reaccionar cuando se suscite un ataque real. Se deben entender las diferentes etapas, y comprender la cantidad de ataques factibles de ser realizadas. Esto ayudará a desarrollar metodologías para emular actividades similares, y consecuentemente probar la postura de seguridad de la compañía.

De hecho estas actividades pueden ser utilizadas de manera maliciosa; por lo tanto también se deben conocer las diversas leyes tanto nacionales como mundiales sobre el tema. El sistema judicial actual toma en consideración un amplio rango de crímenes de computadoras, y los atacantes reciben fuertes multas o penas de cárcel por estas actividades. Por lo tanto se sugiere no realizar actividades ilegales, pues existe mucha estimulación intelectual trabajando para los chicos buenos, sin el riesgo de ir a la cárcel.

La motivación del profesional en pruebas de penetración es conducida por el cliente. Ya sea para acceder hacia información sensible, proporcionar justificación adicional para proyectos por venir, o únicamente evaluar la seguridad de la organización, siendo importante entender aquello lo cual el cliente está buscando antes de iniciar las pruebas. Una vez se entiendan cuales son los objetivos, dirigir el resto de las etapas de las pruebas serán más fácil. A continuación se detallan las etapas de una típica prueba de penetración.

Reglas Fundamentales Establecer las reglas fundamentales

• Definir expectativas e información de contacto entre el equipo de pruebas y clientes.
• Identificar a las partes involucradas y quien es consciente de las pruebas.
• Definir las fechas de inicio y periodos no laborales.
• Obtener una aprobación formal y acuerdo escrito, incluyendo alcance, firmas, y requerimientos legales, frecuentemente denominado “Statement of Work” (SoW).

Escaneo Pasivo Obtener tanta información como sea posible, mientras se mantiene un contacto cero entre el equipo de pruebas y el objetivo. El escaneo pasivo, otras veces conocido como OSINT (Open Source Intelligence), puede incluir.

• Sitios de redes sociales.
• Bases de datos en línea.
• Google, Bing, etc.
• Buscar en la basura.

Escaneo Activo y Enumeración Probar la exposición pública del objetivo con herramientas para el escaneo, lo cual puede incluir.

• Herramientas comerciales de escaneo
• Mapeo de la red
• Captura del banner
• Marcadores
• Transferencias de zona DNS
• Husmear tráfico de red
• Escaneo inalámbrico

Obtener Huellas Realizar una profunda prueba de los sistemas objetivos para identificarlos

• Tipo y nivel de parche del sistema operativo
• Aplicaciones y nivel de parche
• Puertos abiertos
• Servicios en ejecución
• Cuentas de usuario

Seleccionar el Sistema Objetivo Identificar los objetivos más útiles.

Explotar Vulnerabilidades Descubiertas Ejecutar las herramientas de ataque apropiadas contra los exposiciones sospechosas.

• Algunas pueden funcionar.
• Algunas podrían matar servicios o incluso matar el servidor.
• Algunas podrían ser muy útiles

Escalar Privilegios Escalar el contexto de seguridad, de tal manera el hacker ético tiene mayor control.

• Ganar “root” o derechos administrativos
• Utilizar las contraseñas rotas para acceso no autorizado
• Realizar desbordamiento de buffer para ganar control local versus control remoto.

Documentar y Reportar Documentar todo lo encontrado, como fue encontrado, las herramientas utilizadas, las vulnerabilidades explotadas, la cronología de actividades y nivel de éxito, etc.

Fuentes:

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html