{"id":8541,"date":"2016-01-27T23:06:37","date_gmt":"2016-01-27T22:06:37","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=8541"},"modified":"2016-01-27T23:12:21","modified_gmt":"2016-01-27T22:12:21","slug":"pentesting-y-la-busca-del-fallo-perdido-concepto-fases-herramientas","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/pentesting-y-la-busca-del-fallo-perdido-concepto-fases-herramientas\/","title":{"rendered":"Pentesting y la busca del fallo perdido. Concepto, fases, herramientas."},"content":{"rendered":"

En esta entrada os voy a hablar un poco a modo de resumen de lo que se conoce como Pentesting<\/strong>.<\/p>\n

Seguro que para algunos es un concepto desconocido. Pero si digo Hacking<\/strong>, muchos sab\u00e9is a lo que me estoy refiriendo.<\/p>\n

El pentesting<\/strong> difiere de lo que conocemos como hacking. El pentester<\/strong> es el usuario que realiza pruebas de seguridad en un sistema controlado y previamente acordado<\/strong>. El pentesting es la ciencia encargada de encontrar las debilidades del sistema inform\u00e1tico<\/strong>. Mediante t\u00e9cnicas de penetraci\u00f3n<\/strong> e intrusi\u00f3n que tratan de averiguar los fallos, bugs<\/strong>, exploits<\/strong> que puede tener el software o hardware de una empresa. El objeto, medir de forma controlada y acordada el impacto de un fallo<\/strong>, tanto funcional como econ\u00f3mico. El hacking es similar pero sin consentimiento, no se sabe qui\u00e9n, ni donde se realiza el hacking.<\/p>\n

El pentesting intenta similar el ataque de un hacker<\/strong>. Si el hacking busca realizar da\u00f1o, con fines il\u00edcitos, entonces hablamos de cracking<\/strong>. Aunque conviene recordar que el hacking con target sin consentimiento es tambi\u00e9n un delito.<\/p>\n

Por lo tanto los Pentest<\/strong> o pruebas de intrusi\u00f3n<\/strong> se realizan con herramientas espec\u00edficas donde se ha definido el objetivo y con dispositivos se\u00f1alados para su an\u00e1lisis<\/strong>. Puede ser aplicado para realizar an\u00e1lisis forense<\/strong>.<\/p>\n

<\/p>\n

Mediante la detecci\u00f3n e identificaci\u00f3n de los sistemas vulnerables.<\/p>\n

Las pruebas pueden ser de 2 tipos.<\/strong><\/p>\n

De caja blanca y de caja negra<\/strong>.<\/p>\n

Las pruebas de caja blanca<\/strong>, el cliente o empresa ofrecen toda la informaci\u00f3n necesaria para estudiar las posibles debilidades. No es necesario por tanto hacer un fingerprinting (procesos de recopilaci\u00f3n de informaci\u00f3n para identificar el target<\/strong>, Sistema operativo, versiones, etc).<\/p>\n

Por el contra, las pruebas de caja negra<\/strong> no ofrecen informaci\u00f3n alguna para saber a qu\u00e9 nos enfrentamos. Siendo m\u00e1s dif\u00edcil de realizar para el pentester.<\/p>\n

El organismo IACRB<\/strong> <\/a>realiza pruebas para obtener el CPT<\/strong> <\/a>o Certified Penetration Tester<\/strong>. Mediante una prueba examen tipo test y otra pr\u00e1ctica el candidato es evaluado para la obtenci\u00f3n del certificado. Estas pruebas se suelen realizar sobre m\u00e1quinas virtuales.<\/p>\n

De los defectos m\u00e1s temibles existentes son los conocidos como los Zero Day<\/strong>, aquellos en los no se ha difundido el fallo por desconocimiento del fabricante del producto, es decir, un agujero de seguridad sin cura alguna.<\/p>\n

FASES<\/strong><\/p>\n

Las fases para realizar pentesting deben ser realizadas en orden correcto, debido a que podr\u00edan conllevar problemas en el entorno de producci\u00f3n. Todas ellas buscan preservar la seguridad del sistema<\/p>\n

Se clasifican en seis<\/strong>.<\/p>\n

Alcance<\/strong><\/p>\n

Son los l\u00edmites de acci\u00f3n establecidos. Se deben acordar los objetivos a alcanzar con el cliente. Todo lo acordado entre el cliente y el pentester debe ser recogido en un documento firmado por ambas partes, para evitar problemas o reclamos.<\/p>\n

En esta etapa, el cliente es consciente de los posibles problemas a los que se enfrenta, y la necesidad de realizar una auditor\u00eda de seguridad.<\/p>\n

Recogida de informaci\u00f3n.<\/strong><\/p>\n

Si son pruebas de caja blanca, la cantidad de elementos a recolectar ser\u00e1 bastante m\u00e1s sencillo. Al contrario ser\u00e1 necesario realizar t\u00e9cnicas de Fingerprinting, Footprinting, hacking para lograr obtener informaci\u00f3n sobre la organizaci\u00f3n o sistemas target. Mediante las redes sociales, webs, blogs, software B2B, consultas DNS se localiza informaci\u00f3n adicional, an\u00e1lisis de puertos, servicios.<\/p>\n

An\u00e1lisis de las posibles vulnerabilidades.<\/strong><\/p>\n

Una vez recolectada la informaci\u00f3n, versiones, servicios, programas,\u00a0 etc, se intentan buscar diferentes vulnerabilidades para determinar el modo de ataque m\u00e1s eficaz. Se pueden emplear bases de datos de exploits, webs para sysadmins, fallos publicados, o incluso software de anal\u00edtica de vulnerabilidades (realmente existen varios y muy buenos).<\/p>\n

Explotaci\u00f3n o prueba de los posibles fallos.<\/strong><\/p>\n

En esta fase los\/el pentester\/s pone a prueba los conceptos y posibles fallos (PoC<\/strong>). Es una fase larga y duradera, para intentar detectar los posibles exploits, vulnerabilidades. Puede que no se encuentren fallos en un sistema actualizado y seguro. No es nada f\u00e1cil. Mediante exploits o c\u00f3digos que demuestran el posible fallo, se puede comenzar las pruebas. Aunque existen muchas otras t\u00e9cnicas de explotaci\u00f3n.<\/p>\n

Postexplotaci\u00f3n del sistema.<\/strong><\/p>\n

Una vez accedido al sistema a trav\u00e9s del fallo, se intenta acceder a otros recursos para exponer el posible da\u00f1o a otros sistemas. Mediante HOPS<\/strong> o saltos, podemos intentar alargar los tent\u00e1culos de la infiltraci\u00f3n. Es realmente cuando uno se puede dar cuenta que un fallo normal puede provocar exposiciones exponenciales de informaci\u00f3n de la organizaci\u00f3n.<\/p>\n

Informes y resultados.<\/strong><\/p>\n

Se debe recoger todas las pruebas realizadas, horas, software empleado, t\u00e9cnicas.<\/p>\n

Debido a la complejidad se suelen dividir en informes t\u00e9cnicos y ejecutivos.<\/p>\n

Los informes t\u00e9cnicos recogen toda la informaci\u00f3n con un gran nivel de detalle.<\/p>\n

El informe ejecutivo informa de las posibles vulnerabilidades sin entrar mucho en detalle, al igual que el t\u00e9cnico, se muestra una lista de recomendaciones y acciones.<\/p>\n

HERRAMIENTAS<\/strong>.<\/p>\n

Para encontrar vulnerabilidades los penterster adem\u00e1s de sus conocimientos t\u00e9cnicos y acciones de forma manual, se suelen apoyar tambi\u00e9n en herramientas para realizar un recorrido de los posibles fallos.<\/p>\n

Entre ellas destacan:<\/p>\n