Pages

Ads 468x60px

domingo, 19 de abril de 2015

Hacking desde 0. Hoy auditoría de seguridad





Hoy vengo a hablaros sobre auditoría de seguridad, vamos a ver conceptos de teoría y algún ejemplo para que todo quede claro.

No vamos a entrar en las polémicas ¿Que es un hacker?, ¿Que es un cracker?, sombreros blancos, gris o negro, ya que para eso esta el sentido común y las ideas de cada uno.

Solo una aclaración.


Imagen de la cerveza de los chicos de Hack&Beers



Veamos las partes del proceso de auditoría.


  • Footprinting: Es la recolección de información pública sobre la empresa que se va a auditar. Cobra más importancia en una auditoría web ya que la información de la empresa nos puede ayudar bastante. Podemos encontrar nombres de host, direcciones IP, DNS, e incluso meta-datos en documentos públicos.
  • Fingerprinting: En esta fase analizaremos los servicios que hemos localizado en el footprint. Podemos, por ejemplo, analizar los puertos que tiene abiertos cualquier activo de la empresa, ver que servicios están a la escucha etc. En este caso podría ser interesante conocer que el SSH opera en el puerto 22, un servidor web que este en el puerto 80, un FTP en el puerto 21...
  • Análisis de vulnerabilidades: Llegada esta fase, procedemos a buscar las vulnerabilidades a los servicios que habíamos analizado en el punto de fingerprint, ya que podemos haber observado que había una versión vulnerable de un servicio. En este punto solo nos limitamos a buscar las vulnerabilidades, no las explotaremos, ya que quizá la propia empresa no desea que se llegue a realizar la fase de explotación.
  • Explotación: En este caso si que podríamos llegar a explotar las vulnerabilidades que hemos encontrado en la fase de análisis (de hecho para eso está esta fase xD). 
  • Creación de informes: Una vez que hemos terminado la auditoría, nos toca generar los informes con todo lo que hemos realizado, las vulnerabilidades encontradas y su posterior explotación. Suele haber dos tipos de informes, el ejecutivo, más orientado a los altos cargos de la empresa y en el que mostraremos la información recopilada (las vulnerabilidades y como de criticas son) con muchos gráficos como a ellos les gusta.
    Por otra parte haremos el informe técnico que será mucho más amplio y en el que contaremos con más detalle toda la información obtenida. 

También tenemos las modalidades de auditoría que son tres y que son válidas tanto para auditorías internas como externas.

  • Caja blanca: Conoceremos usuario y contraseña de usuario con derechos de administrador. 
  • Caja gris: En este caso conoceremos un usuario y contraseña, bien de la pagina web (en caso de una auditoría externa) o bien de un usuario de la red (por ejemplo en caso de ser una auditoría interna). En ambos casos sería un usuario con pocos privilegios.
  • Caja negra: Comenzaremos la auditoría sin conocer ningún dato de la empresa para ver hasta donde podríamos llegar.

Os dejo unos enlaces que considero necesarios conocer para las auditorías. 

Metodología en auditorías web:

Método OWASP: V3En Castellano, V4 en Inglés y Testing Checklist

OSSTMM: V2.1 En Castellano  En Castellano 

Ya tenéis lectura para rato.




Roberto García (@1GbDeInfo)
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates