ReYDeS's blog

En muchas instancias, el conjunto de herramientas utilizadas por los atacantes maliciosos es el mismo al conjunto de herramientas utilizadas por los profesionales en seguridad. Muchas personas no entienden esto. De hecho, los libros, clases, artículos, sitios webs, y seminarios sobre hacking, podrían ser legítimamente renombrados a “conjunto de herramientas para la educación de profesionales en seguridad”. El problema surge cuando a las personas de marketing les gusta utilizar la palabra “hacking” porque atrae mas la atención y paga a los clientes.

Cómo los atacantes maliciosos utilizan el sistema comprometido depende de sus objetivos globales, los cuales pueden incluir desde robar información sensible, redireccionar transacciones financieras, añadir los sistemas a su red de bots, extorsionar a la compañía, entre otras acciones. Lo relevante es los hackers éticos y no éticos realizan básicamente las mismas actividades, pero con diferentes intenciones.

Cuando los administradores de red, ingenieros, y profesionales en seguridad entienden como los atacantes trabajan, pueden emular sus actividades realizando una útil prueba de penetración. ¿Pero quién querría emular un ataque?. Debido a ser la única manera de verdaderamente probar el nivel de seguridad del entorno, se debe conocer como reaccionar cuando se suscite un ataque real. Se deben entender las diferentes etapas, y comprender la cantidad de ataques factibles de ser realizadas.

Para protegerse a si mismas, las organizaciones deben entender el impacto y capacidad de un atacante. En este caso pueden emplear un hacker ético, también conocido como profesional en pruebas de penetración, para simular un ataque contra el entorno. Las técnicas utilizadas por los profesionales, están diseñadas para emular estos ataques reales pero sin causar daño; lo cual permite a las organizaciones protegerse mejor contra los ataques. Pero los clientes y los hackers necesitan entender como este proceso funciona.

Cuando se trabaja con programas escritos en el lenguaje C en sistemas Linux, el depurador a elegir es “gdb”. GDB Proporciona una robusta interfaz en línea de comando, permitiendo ejecutar un programa mientras se mantiene un completo control. Por ejemplo, se pueden ajustar puntos de interrupción en la ejecución de un programa, y vigilar los contenidos en memoria o los registros en cualquier punto requerido. Por esta razón, depuradores como GDB son valiosos para los programadores y “Hackers”.

¿De qué sirve una prueba de penetración si el cliente no puede descifrar los resultados?. Aunque la fase del reporte alguna veces se ve como una ocurrencia tardía, es importante enfocarse en este fase para producir un producto de calidad para el cliente.

Formato del Reporte

El formato de un reporte puede variar, pero los siguiente puntos deben estar presentes:

El compartir información es la clave del éxito durante una prueba de penetración. Esto es especialmente cierto cuando se trabaja con equipos los cuales está geográficamente dispersos. El framework Dradis es la mejor manera de recolectar y proporcionar información durante una prueba de penetración. De hecho fue diseñado con este propósito.

Dradis

Cuando ya se ha realizado toda la planificación y papeleo relacionada a la Prueba de Penetración, es momento de comenzar a lanzar paquetes; bueno casi. Pues primero se necesitan aclarar algunos temas con el cliente.

Reunión Inicial

A menos se requiere una Prueba de Penetración de tipo caja negra, es importante agendar y asistir a una reunión inicial, antes del contrato con el cliente. Esta es una oportunidad no solo para confirmar las necesidades y requisitos del cliente, sino también empezar con el pie de derecho con él.

Cuando se realizan pruebas de penetración, un acuerdo firmado puede ser el mejor amigo o el peor enemigo. Los siguientes documentos son pertinentes.

Declaración del Trabajo

Cuando se planifica una prueba de penetración, se deberá tener en consideración el tipo, alcance, locaciones, organización, metodología y etapas de la prueba.

Tipos de Pruebas de Penetración

Existen básicamente tres tipos para pruebas de penetración; caja blanca, caja negra, y caja gris.

Pruebas de Caja Blanca