ReYDeS's blog

Cuando se realizan pruebas de penetración, un acuerdo firmado puede ser el mejor amigo o el peor enemigo. Los siguientes documentos son pertinentes.

Declaración del Trabajo

Cuando se planifica una prueba de penetración, se deberá tener en consideración el tipo, alcance, locaciones, organización, metodología y etapas de la prueba.

Tipos de Pruebas de Penetración

Existen básicamente tres tipos para pruebas de penetración; caja blanca, caja negra, y caja gris.

Pruebas de Caja Blanca

Para una empresa se defienda efectivamente a si misma contra un ataque interno, en primera instancia se debe abandonar la noción sobre los ataques únicamente se originan desde el exterior. Los ataques actuales y más dañinos frecuentemente se originan desde el interior de la empresa, sin embargo, los controles para el acceso y políticas para la LAN interna, frecuentemente están muy por detrás de los controles fronterizos o en el borde, y de la política para el uso de Internet para los empleados de la empresa.

Habiendo deshabilitado el antivirus, se puede ejecutar la herramienta Cain desde una unidad USB, CD o DVD, para proceder a instalarlo en el sistema Windows en evaluación. El proceso de instalación consultará si se requiere instalar WinPcap. Esto es opcional, aunque no se podría realizar sniffing de contraseñas o ataques de hombre en el medio para simular ataques. Cain es principalmente una herramienta para auditar contraseñas. on la herramienta Cain ejecutada desde una unidad USB, la recuperación del archivo “SAM” resulta relativamente sencilla.

Cain, como cualquier otra herramienta para pruebas de penetración o hacking ético, puede ser detectado por la mayoría de productos antivirus instalados en el sistema bajo evaluación. Si Cain es detectado, puede ser reportado hacia el gestor del producto antivirus en la compañía. El deshabilitar el software antivirus puede ser realizado de diversas maneras, dependiendo del producto y como este configurado. Las opciones más comunes incluyen.

Habiendo obtenido acceso físico hacia el sistema en evaluación, y capturados los archivos de nombre SAM y SYSTEM. Los hashes de las contraseñas de un sistema Windows pueden ser extraídos o volcados, para luego intentar obtener las contraseñas en texto plano, y entre ellas obtener la contraseña de la cuenta del usuario Administrador. Esta contraseña podría no ser única para la máquina, y podría funcionar también en un grupo de computadoras sobre la red objetivo de evaluación.

El sistema operativo local podría tener incorporada varias cuentas, al menos una de las cuales podría ser altamente privilegiada. Por defecto, la cuenta más privilegiada será la cuenta de Administrador, pero no es infrecuente la cuenta sea renombrada, en un intento de ocultarla de los atacantes. Sin importar cual nombre de cuenta se tenga, siempre estará en el grupo de Administradores. Una manera fácil de ver cuales usuarios son miembros del grupo local de Administadores de una máquina individual, es utilizar el comando “net” desde la línea de comando.

Realizar un ataque desde el interior, puede ser realizado utilizando herramientas y técnicas familiares, los cuales son abarcadas ampliamente en el ámbito del Hacking Ético. La principal diferencia es se está trabajando dentro de la compañía objetivo, a un nivel privilegiado previamente establecido de un empleado, completamente con su cuenta de red. En muchos casos, se puede establecer un lugar privado desde el cual trabajar, al menos inicialmente, pero en algunos casos se necesitará trabajar a la intemperie, en presencia de otros empleados.

En lo referente a obtener acceso hacia los activos de información, esto puede ser realizado mediante pruebas de penetración físicas o mediante la utilización de ingeniería social. Ambos son ejemplos de ataques para un intruso motivado, quien puede utilizarlos para ganar acceso hacia la infraestructura del sistema para la información detrás de las defensas fronterizas primarias. Pero ahora también es necesario abordar la perspectiva de alguien quien ya tiene acceso hacia los sistemas de información del objetivo, un “insider” (interno).

Se podría asumir la protección a los activos informativos de la empresa desde una intrusión física es abarcada bajo los mecanismos de seguridad actuales, pero frecuentemente este no es el caso. Estos mismos activos deben estar disponibles para los empleados, de tal manera puedan realizar su trabajo. Todos lo necesario para un atacante es obtener acceso físico hacia la infraestructura de la red de datos, viéndose convincente ya sea como un empleado, o como si se perteneciese al edificio por alguna otra razón.