Twitter Flickr Pinterest LinkedIn YouTube Google Maps E-mail RSS
formats

¿ Qué es el hacking ético ?, utilidades.

Ethical hacking. Este concepto incluye las denominaciones vulnerability scanning y penetration test, denominado también network security assessment.

La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una determinada serie de valores. Himanen rescata algunos fundamentales, a saber …

Otros aspectos que resaltan de esta ética, es una frase muy sonada y maravillosa: «Ningún problema debería resolverse 2 veces», aludiendo a que el tiempo de los demás es muy valioso, y cuando resuelvas algo comunicalo a todos tus compañeros hackers para que puedan resolver otros problemas, aumentando la productividad.

En nuestro escenario actual, para la mayoría de la gente y de la prensa, la palabra hacking está ligada a delincuentes comunes, a personas de dudosa moralidad que utilizan conocimientos de informática o electrónica para delinquir. Esto se encuentra lejos de la realidad. Además la confusión agrava más el problema, al mezclar a los hackers con los crackers, es más, el hacker ético es una variante del hacker común, términos que poseen un significado completamente distinto. El hacker ético busca fallos para dar soluciones, en una continua mejora de la seguridad, previo establecimiento de acuerdo.

Para lograr algo así, se requieren dos elementos básicos: en principio, metodología para trabajar. Esto es el resultado de un grupo de piezas previamente ensambladas: habilidades personales de lógica y creatividad, técnicas propias de un network security assessment, reconocimiento o relevamiento de todos los componentes del escenario y herramientas como un intérprete de comandos del tipo prompt o shell, un web browser y un editor de texto, al menos para este caso.

Por otro lado, se requiere autorización, que es el elemento más importante. Esta autorización también tiene sus partes: un contrato de confidencialidad, coordinación, evaluación, procesos por seguir y todas las características internas (por ejemplo, el compromiso de la gerencia para con el proyecto es vital) o propias de las partes involucradas en este trabajo/desafío.

Para resumir, veamos el proceso de ethical hacking en pocas palabras:

1. La organización desea saber si sus sistemas son realmente seguros.

2. Selecciona y contrata un servicio profesional de ethical hacking.
3. Lo autoriza a realizar el trabajo mediante diversas pautas.
4.Planifican estratégicamente cómo se realizará y el alcance que tendrá.
5.El profesional, luego de llevar a cabo los análisis preliminares, realiza su tarea imitando al atacante real, pero sin comprometer dato alguno.
6.Luego, analiza los resultados del security assessment.
7. Confecciona un reporte detallado para que la organización lo evalúe.
8. Soluciona lo vulnerable o mitiga lo potencial para dejar el sistema más seguro. Se reafirma la defensa del sistema en general.

9.Se adoptan políticas de control y seguimiento (normativa).

Ethical hacking es una metodología utilizada para simular un ataque malicioso sin causar daño.

Este tipo de servicios puede ser vendido por consultoras de seguridad especializadas o profesionales independientes. Los servicios consisten en descubrir las deficiencias relativas a seguridad y las vulnerabilidades de los sistemas informáticos, analizarlas, calibrar su grado de riesgo y peligrosidad, y recomendar las soluciones más apropiadas para cada una de ellas.

Un proyecto de Hacking Ético consiste en una penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito. El resultado es un informe donde se identifican los sistemas en los que se ha logrado penetrar y la información confidencial y/o secreta conseguida.

Cada proyecto se estudia individualmente y se realiza una propuesta de servicios que puede combinar diversos ámbitos de auditoría (interna, externa, de sistemas, de aplicaciones web, etc) en función de las necesidades específicas de cada cliente.

Pueden existir distintas modalidades:

Hacking Ético Externo Caja Blanca

Se facilita información para poder realizar la intrusión (normalmente las direcciones IP a testar). Se analizan en profundidad y extensión todas las posibles brechas de seguridad al alcance de un atacante de los sistemas de comunicaciones sometidos a estudio. Opcionalmente, el ámbito de actuación se puede ampliar a máquinas no perimetrales. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético Externo Caja Negra
Es esencialmente lo mismo que en el de Caja Blanca con la dificultad añadida de que no se facilita ningún tipo de información inicial.

Hacking Ético Interno
El ámbito de esta auditoría es la red interna de la empresa, para hacer frente a la amenaza de intento de intrusión, bien por un empleado que pueda realizar un uso indebido o una persona con acceso a los sistemas o un hacker que hubiera conseguido penetrar en la red. Para este servicio se hace necesaria la presencia de especialistas en las instalaciones de la empresa que se va a auditar. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético de Aplicaciones Web
Se simulan los intentos de ataque reales a las vulnerabilidades de una o varias aplicaciones determinadas, como pueden ser: sistemas de comercio electrónico, de información, o de acceso a bases de datos. No es necesaria la entrega del código fuente de la aplicación. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético de Sistemas de Comunicaciones
En esta auditoría se analiza la seguridad de las comunicaciones tales como: redes de datos, hardware de red, comunicaciones de voz, fraude en telecomunicaciones (uso fraudulento de centralitas, telefonía pública, acceso no autorizado a Internet, redes de transmisión de datos por radio, etc.) principalmente para estudiar la disponibilidad de los sistemas, la posibilidad de una interceptación o introducción no autorizada de información. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético VoIP
Las empresas que están migrando su telefonía tradicional a VoIP por las múltiples ventajas que ofrece no deberían ignorar los riesgos de seguridad que aparecen cuando convergen las redes de voz y datos. Los ataques que pueden sufrir los sistemas VoIP son múltiples: robo de servicio, interceptación de comunicaciones, denegación de comunicaciones telefónicas, etc. Al mismo tiempo, al modificar nuestras redes de datos para permitir el uso de VoIP podemos estar abriendo inadvertidamente vías de ataque a nuestros sistemas informáticos. A través de Hacking Ético VoIP es posible identificar los puntos débiles en su infraestructura de comunicaciones para minimizar estos riesgos.

Test de Denegación de Servicio (DoS)
Este test refleja el grado de solidez o resistencia de un servicio ante la agresión de un atacante local o remoto que intente deshabilitarlo. El informe final se indican los resultados obtenidos y una descripción de las situaciones específicas en las que se haya conseguido dicha denegación, si fuera el caso.

Etc …

Para finalizar y querer profundizar en el tema, recomiendo la lectura. Hacking ético de Carlos Tori. Descarga libre. Admite donaciones.

http://www.hackingetico.com/

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Home Seguridad ¿ Qué es el hacking ético ?, utilidades.
© www.palentino.es, desde el 2012 - Un Blog para compartir conocimientos ...

Uso de cookies en mi sitio palentino.es

Este sitio web utiliza cookies para que tengamos la mejor experiencia de usuario. Si continúas navegando estás dando tu consentimiento para la aceptación de las mencionadas cookies y la aceptación de la política de cookies

ACEPTAR
Aviso de cookies