Ethical hacking: Test de intrusin.

Principales metodologas
Introduccin
Las computadoras alrededor del mundo estn siendo vctimas sistemticamente de ataques de hackers (piratas informticos), capaces de comprometer un sistema, robar todo lo valioso y borrar completamente la informacin en pocos minutos. Por esta razn resulta de vital importancia conocer si los sistemas informticos y redes estn protegidos de todo tipo de intrusos. Precisamente el objetivo fundamental de Ethical Hacking, es, brindar ayuda a las organizaciones para que tomen todas las medidas preventivas en contra de agresiones maliciosas, valindose para ello de los test de intrusin, que evalan la seguridad tcnica de los sistemas de informacin, redes de computadoras, aplicaciones web, servidores, etc. El servicio consiste en la simulacin de ataques hostiles controlados y la realizacin de actividades propias de delincuentes informticos, esta filosofa resulta de la practica probada: "Para atrapar a un ladrn debes pensar como un ladrn". A continuacin se describen en detalle los diferentes enfoques a los que se orientan los tests de intrusin que aplican las empresas dedicadas a brindar servicios de ethical hacking, sus fases y las principales metodologas en las que se apoyan los especialistas para realizar dichas operaciones.

1. Breve introduccin al tema

1.1 Seguridad informtica

La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. En la actualidad dicho concepto debe ser incorporado de manera obligatoria en el proceso de desarrollo de un software, desde las fases iniciales de su diseo hasta su puesta en funcionamiento, sin embargo la realidad es otra y la seguridad es incorporada en una aplicacin como producto de una reflexin tarda a la fase de diseo inicial del producto. El desarrollador no slo debe concentrarse nicamente en los usuarios y sus requerimientos, sino tambin en los eventos que puedan interferir con la integridad del software y la informacin que ste maneja. Para garantizar la seguridad informtica se requiere de un conjunto de sistemas, mtodos y herramientas destinados a proteger la informacin, en este punto es donde entran a desempear un rol protagnico las empresas dedicadas a brindar servicios orientados a estos menesteres, uno de esos servicios lo constituye precisamente el caso que ocupa este trabajo, los servicios de ethical hacking, disciplina de la seguridad de redes que se sustenta en el hecho de que para estar protegido se debe conocer cmo operan y qu herramientas usan los hackers.

1.2 Quines son los ETHICAL HACKERS?

Ethical Hackers son redes de computadoras y expertos que atacan sistemas informticos en nombre de sus propietarios, con los mismos mtodos que sus homlogos, en busca de

posibles fallas de seguridad con la finalidad de brindar un informe de todas las vulnerabilidades encontradas que podran ser aprovechadas por los piratas informticos. Para tales fines los ethical hackers han desarrollado lo que se conoce como pruebas de penetracin, (PEN-TEST por sus siglas en ingls).

2. Tests de intrusin.
Una prueba de penetracin es un paso previo natural a todo anlisis de fallas de seguridad o riesgo para una organizacin. A diferencia de un anlisis de vulnerabilidades, una prueba de penetracin se enfoca en la comprobacin y clasificacin de las mismas; y no en el impacto que estas tienen sobre la organizacin. 2.1 Tipos de Tests de intrusin. Las empresas que se dedican a realizar pruebas de penetracin, luego de analizar las necesidades del cliente, las enfocan en las siguientes perspectivas:

Tests de intrusin con objetivo: se busca las vulnerabilidades en componentes especficos de los sistemas informticos que son de mayor importancia para la empresa. Tests de intrusin sin objetivo: a diferencia de la prueba de penetracin con objetivo esta prueba examina la totalidad de los componentes en los sistemas informticos presentes en la empresa.

Tests de intrusin ciega: se utiliza nicamente la informacin pblica disponible sobre la empresa. Esta prueba de penetracin trata de simular los ataques de un ente externo a la empresa.

Tests de intrusin informada:se utiliza informacin privada, otorgada por la empresa, sobre sus sistemas informticos. Esta prueba de penetracin trata de simular ataques hechos por un ente interno a la empresa y con cierto grado de informacin privilegiada. Tests de intrusin externa: se realiza de manera externa a las instalaciones de la empresa. La motivacin de esta prueba es evaluar los mecanismos perimetrales de seguridad informtica de la empresa. Tests de intrusin interna:es realizada dentro de las instalaciones de la empresa con el motivo de probar las polticas y los mecanismos internos de seguridad de la empresa.

El resultado de este servicio le brinda al clienteun documento con una lista detallada de las vulnerabilidades encontradas y certificadas (eliminacin de falsos positivos). Adicionalmente el documento provee una lista de recomendaciones a aplicar, sobre la cual los responsables de seguridad de la organizacin pueden apoyar su programa de control. 2.2 A quin va dirigido este servicio? A empresas con infraestructura de red propia con servicios accesibles desde el exterior, como por ejemplo, Internet (compaas que alojen su propia pgina web, Proveedores de Servicios de Internet (ISP), empresas que permitan el acceso remoto a sus trabajadores ( VPN, RAS), etc.). 2.3 Por qu es importante realizar pruebas de penetracin peridicas? La seguridad de una organizacin es un aspecto cambiante. Una empresa puede alcanzar un nivel de proteccin ptimo en un momento determinado y ser totalmente sensible poco despus, tras cambios en la configuracin de un servidor o tras la instalacin de nuevos

dispositivos de red. Al mismo tiempo, continuamente aparecen nuevos fallos de seguridad en softwares existentes, que previamente se crean seguros. Una poltica de realizacin de pruebas de penetracin peridicas mitiga, en gran medida, el riesgo asociado a un entorno en constante cambio, tal como lo representan los sistemas informticos de cualquier compaa. 2.4 Descripcin del servicio Las empresas dedicadas a realizar pruebas de penetracin, generalmente, al comenzar realizan un reconocimiento de la visibilidad de los sistemas desde el exterior. Comenzando por recopilar informacin sobre el cliente ( la organizacin a testear) y sobre los sistemas informticos de los que este dispone. Para ello se emplean tcnicas no intrusivas. Este anlisis permite conocer qu tipo de informacin muestra la organizacin al exterior y puede ser accesible por cualquiera. A continuacin se detalla que sistemas entrarn dentro del alcance del test y se procede a iniciar el ataque. En este ataque se respetan los siguientes puntos, sujetos a cambios en funcin de las necesidades del cliente:

Se realiza desde una mquina remota, cuya direccin IP pblica se pondr en conocimiento del cliente antes de iniciar la intrusin. Se tienen en cuenta las metodologas OSSTMM, ISSAF y OWASP durante todo el proceso, aunque el equipo auditor podr hacer chequeos adicionales no contemplados en estas metodologas fruto de experiencias previas. Durante el test no se realizarn pruebas de Denegacin de Servicio o Ingeniera Social si no es solicitado expresamente por parte del cliente.

La realizacin del test est regida por las siguientes fases. Cada una brinda informacin til para proteger en el futuro los sistemas del cliente y para continuar analizando la red en fases posteriores: 1. Recopilacin de informacin 2. Enumeracin de la red 3. Exploracin de los sistemas 4. Extraccin de informacin 5. Acceso no autorizado a informacin sensible 6. Auditora de las aplicaciones web 7. Elaboracin de informes 8. Comprobacin del proceso de parcheado de los sistemas 9. Informe final 2.5 Beneficios de un test de intrusin

1. Proporciona un conocimiento del grado de vulnerabilidad de los sistemas de informacin, imprescindible para aplicar medidas correctivas. 2. Descubre fallas de seguridad tras cambios de configuracin. 3. Determina sistemas en peligros debido a su desactualizacin.

4. Identifica configuraciones errneas que pudieran desembocar en fallos de seguridad en dispositivos de red (switches, routers, firewalls, etc.). 5. Reduce la probabilidad de materializacin de aquellos riesgos que pueden representar grandes prdidas de capital debido a: facturacin fallida reposicin de los daos causados prdida de oportunidad de negocio reclamacin de clientes restitucin de la imagen corporativa sanciones legales 6. Se ahorra tiempo y dinero al afrontar y corregir situaciones negativas antes de que sucedan.

3. Metodologas existentes para realizar test de intrusin.

3.1 OSSTMM
Representa un estndar de referencia imprescindible, para todo aquel que quiera llevar a cabo un testeo de seguridad en forma ordenada y con calidad profesional. A fin de organizar su contenido, la metodologa se encuentra dividida en varias secciones. Del mismo modo, es posible identificar en ella, una serie de mdulos de testeo especficos, a travs de los cuales se observan cada una de las dimensiones de seguridad, integradas con las tareas a llevar a cabo en los diferentes puntos de revisin (Seguridad de la Informacin, Seguridad de los Procesos, Seguridad en las Tecnologas de Internet, Seguridad en las Comunicaciones, Seguridad Inalmbrica y Seguridad Fsica). OSSTMM no solo alcanza los mbitos tcnicos y de operacin de seguridad tradicionales, sino que, se encarga de normar aspectos tales como: las credenciales del profesional a cargo del test, la forma en la que el test debe ser comercializado, la forma en la que los resultados del mismo deben ser presentados, las normas ticas y legales que deben ser tenidas en cuenta al momento de concretar el test, los tiempos que deberan ser tenidos en cuenta para cada una de las tareas, y por sobre todas las cosas, incorpora el concepto de RAVs (Valores de Evaluacin de Riesgo) y con ellos la frecuencia con la cual la prueba debe ser ejecutada a fin de proveer ms que una instantnea en el momento de su ejecucin.

3.2 ISSAF
Constituye un framework detallado respecto de las prcticas y conceptos relacionados con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La informacin contenida dentro de ISSAF, se encuentra organizada alrededor de lo que se ha dado en llamar "Criterios de Evaluacin", cada uno de los cuales ha sido escrito y/o revisado por expertos en cada una de las reas de aplicacin. Estos criterios de evaluacin a su vez, se componen de los siguientes elementos:

Una descripcin del criterio de evaluacin Puntos y Objetivos a cubrir Los pre-requisitos para conducir la evaluacin

El proceso mismo de evaluacin El informe de los resultados esperados Las contramedidas y recomendaciones Referencias y Documentacin Externa.

Por su parte y a fin de establecer un orden preciso y predecible, dichos "Criterios de Evaluacin", se encuentran contenidos dentro de diferentes dominios entre los que es posible encontrar, desde los aspectos ms generales, como ser los conceptos bsicos de la " Administracin de Proyectos de Testeo de Seguridad", hasta tcnicas tan puntuales como la ejecucin de pruebas de Inyeccin de Cdigo SQL (SQL Injection) o como las "Estrategias del Cracking de Contraseas. A diferencia de lo que sucede con metodologas "ms generales", si el framework no se mantiene actualizado, muchas de sus partes pueden volverse obsoletas rpidamente (especficamente aquellas que involucran tcnicas directas de testeo sobre determinado producto o tecnologa). Sin embargo esto no debera ser visto como una desventaja, sino como un punto a tener en cuenta a la hora de su utilizacin.

3.3 OTP (OWASP Testitng Project)

OTP promete convertirse en uno de los proyectos ms destacados en lo que al testeo de aplicaciones web se refiere. La metodologa consta de 2 partes, en la primera se abarcan los siguientes puntos:

Principios del testeo Explicacin de las tcnicas de testeo. Explicacin general acerca del framework de testeo de OWASP.

Y en la segunda parte, se planifican todas las tcnicas necesarias para testear cada paso del ciclo de vida del desarrollo de software. Incorpora en su metodologa de testeo, aspectos claves relacionados con el "Ciclo de Vida del Desarrollo de Software" o SDCL (Por sus siglas en Ingles "Software Development Life Cycle Process") a fin de que el "mbito" del testeo a realizar comience mucho antes de que la aplicacin web se encuentre en produccin. De este modo, y teniendo en cuenta que un programa efectivo de testeo de aplicaciones web, debe incluir como elementos a testear: Personas, Procesos y Tecnologas, OTP delinea en su primera parte conceptos claves a la vez que introduce un framework especficamente diseado para evaluar la seguridad de aplicaciones web a lo largo de su vida. Paso 1 Antes de comenzado el desarrollo

a) Revisin de Polticas y Estndares b) Desarrollo de un Criterio de Medidas y Mtricas (Aseguramiento de la Trasabilidad)

Paso 2 Durante la definicin y el diseo

a) Revisin de los Requerimientos de Seguridad b) Diseo de Revisin de Arquitectura c) Creacin y Revisin de modelos UML d) Creacin y Revisin de modelos de Amenazas

Paso 3 Durante el desarrollo

a) Code Walkthroughs b) Revisin de Cdigo

Paso 4 Durante el deployment

a) Testeo de Penetracin sobre la Aplicacin b) Testeo sobre la Administracin y Configuracin

Paso 5 Operacin y mantenimiento

a) Revisin Operacional b) Conduccin de Chequeos Peridicos c) Verificacin del Control de Cambio