ReYDeS's blog

Una de las maneras en la cual la herramienta Nmap ha expandido su funcionalidad, es la inclusión de scripts para realizar escaneos especializados. Simplemente se debe invocar al script y proporcionar los argumentos necesarios para utilizarlo. Nmap Scripting Engine (NSE) maneja esta funcionalidad, y afortunadamente tiene muchos scripts específicos para el ámbito web listos para ser utilizados. Al momento de realizar la presente publicación, existen casi 600 scripts, 591 para ser exactos. De todos estos scripts, 132 están relacionados al servicio “http”.

Es escaneo de puertos es simplemente el proceso de identificar cuales puertos están abiertos sobre la computadora objetivo. Además, encontrar cuales servicios están ejecutándose en estos puertos. Los puertos en una computadora son como cualquier abertura la cual permite entrar dentro de una casa, puede ser la puerta principal, la puerta secundaria, o la puerta del estacionamiento. Continuando con la analogía de la casa, los servicios son el tráfico utilizado por un punto de entrada dentro de una casa.

En muchas instancias, el conjunto de herramientas utilizadas por los atacantes maliciosos es el mismo al conjunto de herramientas utilizadas por los profesionales en seguridad. Muchas personas no entienden esto. De hecho, los libros, clases, artículos, sitios webs, y seminarios sobre hacking, podrían ser legítimamente renombrados a “conjunto de herramientas para la educación de profesionales en seguridad”. El problema surge cuando a las personas de marketing les gusta utilizar la palabra “hacking” porque atrae mas la atención y paga a los clientes.

Cómo los atacantes maliciosos utilizan el sistema comprometido depende de sus objetivos globales, los cuales pueden incluir desde robar información sensible, redireccionar transacciones financieras, añadir los sistemas a su red de bots, extorsionar a la compañía, entre otras acciones. Lo relevante es los hackers éticos y no éticos realizan básicamente las mismas actividades, pero con diferentes intenciones.

Cuando los administradores de red, ingenieros, y profesionales en seguridad entienden como los atacantes trabajan, pueden emular sus actividades realizando una útil prueba de penetración. ¿Pero quién querría emular un ataque?. Debido a ser la única manera de verdaderamente probar el nivel de seguridad del entorno, se debe conocer como reaccionar cuando se suscite un ataque real. Se deben entender las diferentes etapas, y comprender la cantidad de ataques factibles de ser realizadas.

Para protegerse a si mismas, las organizaciones deben entender el impacto y capacidad de un atacante. En este caso pueden emplear un hacker ético, también conocido como profesional en pruebas de penetración, para simular un ataque contra el entorno. Las técnicas utilizadas por los profesionales, están diseñadas para emular estos ataques reales pero sin causar daño; lo cual permite a las organizaciones protegerse mejor contra los ataques. Pero los clientes y los hackers necesitan entender como este proceso funciona.

Cuando se trabaja con programas escritos en el lenguaje C en sistemas Linux, el depurador a elegir es “gdb”. GDB Proporciona una robusta interfaz en línea de comando, permitiendo ejecutar un programa mientras se mantiene un completo control. Por ejemplo, se pueden ajustar puntos de interrupción en la ejecución de un programa, y vigilar los contenidos en memoria o los registros en cualquier punto requerido. Por esta razón, depuradores como GDB son valiosos para los programadores y “Hackers”.

¿De qué sirve una prueba de penetración si el cliente no puede descifrar los resultados?. Aunque la fase del reporte alguna veces se ve como una ocurrencia tardía, es importante enfocarse en este fase para producir un producto de calidad para el cliente.

Formato del Reporte

El formato de un reporte puede variar, pero los siguiente puntos deben estar presentes:

El compartir información es la clave del éxito durante una prueba de penetración. Esto es especialmente cierto cuando se trabaja con equipos los cuales está geográficamente dispersos. El framework Dradis es la mejor manera de recolectar y proporcionar información durante una prueba de penetración. De hecho fue diseñado con este propósito.

Dradis

Cuando ya se ha realizado toda la planificación y papeleo relacionada a la Prueba de Penetración, es momento de comenzar a lanzar paquetes; bueno casi. Pues primero se necesitan aclarar algunos temas con el cliente.

Reunión Inicial

A menos se requiere una Prueba de Penetración de tipo caja negra, es importante agendar y asistir a una reunión inicial, antes del contrato con el cliente. Esta es una oportunidad no solo para confirmar las necesidades y requisitos del cliente, sino también empezar con el pie de derecho con él.