En el siguiente post estaremos hablando sobre las fases FASES DEL PENTESTING Aprender como hacer auditoria de HACKING a una empresa de una manera legal, ademas de ello continuación al final del post vinculamos un Videoconferencia en la cual se organizo con nuestros amigos Zero Seguridad Informática esta fue impartida en nuestra pagina de facebook.
Metodología
PTES (Penetration Testing Execution Standard)
La metodología se divide en 7 aspectos los cuales se basan
en técnicas a como se estructura una prueba de penetración.
- Fase de Pre-acuerdo
- Fase recolección de información
- Análisis de vulnerabilidades
- Modelado de amenaza
- Fase de explotación
- Fase de Post-explotación
- Fase de reportes
Fase de contacto Preacuerdo
En esta fase es donde se tiene el contacto entre el analista
de seguridad o el auditor y el cliente, se hace el acuerdo entre el alcance del
test, los formularios que se auditarán, los sistemas, los dominios si es una
empresa grande, los costos por la auditoría.
Se definen las fechas estimadas en entrega del reporte
final, regularmente los primeros formularios son los que se cobran mucho más
caros, ya que no conocemos la estructura de su código
Se explica al cliente los tipos de test de penetración:
- Black box
- Gray box
- White box
Tipos de test de penetración
Test de caja
negra (Black Box)
Las pruebas
de caja negra implican la realización de una evaluación de la seguridad y
pruebas sin
conocimiento
previo de la infraestructura o de la infraestructura de red a probar. La prueba
simula
un ataque
de un hacker malicioso fuera del perímetro de seguridad de la organización.
Test de
caja gris (Gray Box)
Las pruebas de caja gris implican la evaluación de la
seguridad y pruebas internas.
Las pruebas examinan el grado de acceso a información
privilegiada dentro de la red.
El propósito de esta prueba es para simular las formas más
comunes de ataque, los que se inician desde dentro de la red.
Test de caja blanca (White Box)
Las pruebas de caja blanca implican la evaluación de la seguridad
y las pruebas son con conocimiento completo de la infraestructura de red, en
este caso se conoce como auditorías internas.
Fase de recolección de información.
En la Fase
de recolección de información tenemos muchos métodos sobre cómo hacerlo.
La
recolección de información es importante porque a través de esto nos dará ideas
sobre el objetivo sobre el cual estamos trabajando. Los métodos más comunes
son:
- Google Hacking
- Osint
- Doxing
Lo que se
pretende es sacar la mayor cantidad de información para proceder a hacer un
perfil, como, por ejemplo, la identificación del sistema, registro de dominio,
tipo puertos abiertos, el sistema web si corresponde a un cms.
Fase de
Análisis de vulnerabilidades.
Como el nombre lo indica es donde ya comenzamos a
interactuar de forma activa con el objetivo y la finalidad es:
Analizar el sistema de forma manual o automática para identificar
posibles vulnerabilidades
En este apartado básicamente se define el ámbito
y alcance del test de intrusión. Se llega a un acuerdo con el cliente
acotando la profundidad de las pruebas a realizar, permisividad de ataques
(ataques DOS, fuerza bruta…), enfoque del test (caja negra, gris o blanca)
presentación de evidencias (goals), etc.
Fase de modelado de amenaza.
Para esta fase es muy importante ver que ya hemos extraído
la información necesaria, porque con base a toda la información recaudada vamos
a gestionar nuestro perfil de ataque, y veremos sobre la creación de nuestros
diccionarios para ataques de fuerza bruta.
- Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.
- El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.
Fase de
Explotación
Una vez ya realizado nuestro modelado de amenaza que es el
que nos ayuda a ver de qué manera atacaremos al sistema, porque puerto acceder,
o que vulnerabilidad activa vamos a explotar todo esto con la finalidad de
acceder al sistema objetivo. Por ejemplo, si un sistema tiene el servidor con
el puerto 21 activo y tienen las credenciales por defecto es por donde nosotros
vamos a acceder y si no tienen credenciales por defecto haremos uso de la
fuerza bruta por diccionario que ya previamente se deben haber hecho con la
información obtenida.
Fase de
post-explotación.
Esta fase solo tiene que ver si la intrusión al sistema es
decir la explotación se ha llevado con éxito, esta fase se lleva a cabo siempre
después de ganar el acceso y consta de la recolección de información
privilegiada como por ejemplo archivos alojados en un servidor o sistema,
consta de implantar un backdoor, troyano o keylogger (Claro eso si no fuera un
test ético) la finalidad es demostrar al cliente que si alguien con malas
intenciones hiciera un test podría acceder al sistema y robar la información de
igual forma y sobre todo plantar un backdoor o dejar ese servidor como botnet.
Generación de reportes.
Esta es la parte, aunque la más aburrida para nosotros, y
claro porque solo tenemos que escribir detalladamente todos los errores de
seguridad que hemos encontrado, los procesos que realizamos.
Existen dos tipos de reportes que se deben de generar
- Reporte técnico (Para los administradores del sistema)
Esta clase de reportes las generamos y escribimos las
terminologías apropiadas y de ser posible se anexan las posibles soluciones que
deberían llevar a implementación, de tal manera que sea lo mejor detallado
posible.
- Reporte ejecutivo (Para la mesa directiva)
Este reporte se diferencia del otro tipo en que este reporte
se debe escribir las palabras apropiadas para que personas ajenas al mundo de
la informática pueda entender.
Claro finalmente esto se debe exponer al cliente o la mesa
directiva que ha contratado al auditor.
Vídeo Conferencia Realizada con nuestros amigos de Zero Seguridad
Vídeo Conferencia Realizada con nuestros amigos de Zero Seguridad
Exelente
ResponderBorrarSiempre me interesó meterme en este tema
ResponderBorrarQue Bien amigo que te guste
BorrarMuy bueno
ResponderBorrarMuy buen artículo!
ResponderBorrarEXcelentes aportes. Muchas gracias.
ResponderBorrarEste artículo me ha gustado bastante.
ResponderBorrarexcelente
ResponderBorrarExc informacion
ResponderBorrarbueno pero muy mala calidad de video
ResponderBorrar