Hoy vengo a hablaros sobre auditoría de seguridad, vamos a ver conceptos de teoría y algún ejemplo para que todo quede claro.
No vamos a entrar en las polémicas ¿Que es un hacker?, ¿Que es un cracker?, sombreros blancos, gris o negro, ya que para eso esta el sentido común y las ideas de cada uno.
Solo una aclaración.
 |
| Imagen de la cerveza de los chicos de Hack&Beers |
Veamos las partes del proceso de auditoría.
- Footprinting: Es la recolección de información pública sobre la empresa que se va a auditar. Cobra más importancia en una auditoría web ya que la información de la empresa nos puede ayudar bastante. Podemos encontrar nombres de host, direcciones IP, DNS, e incluso meta-datos en documentos públicos.
- Fingerprinting: En esta fase analizaremos los servicios que hemos localizado en el footprint. Podemos, por ejemplo, analizar los puertos que tiene abiertos cualquier activo de la empresa, ver que servicios están a la escucha etc. En este caso podría ser interesante conocer que el SSH opera en el puerto 22, un servidor web que este en el puerto 80, un FTP en el puerto 21...
- Análisis de vulnerabilidades: Llegada esta fase, procedemos a buscar las vulnerabilidades a los servicios que habíamos analizado en el punto de fingerprint, ya que podemos haber observado que había una versión vulnerable de un servicio. En este punto solo nos limitamos a buscar las vulnerabilidades, no las explotaremos, ya que quizá la propia empresa no desea que se llegue a realizar la fase de explotación.
- Explotación: En este caso si que podríamos llegar a explotar las vulnerabilidades que hemos encontrado en la fase de análisis (de hecho para eso está esta fase xD).
- Creación de informes: Una vez que hemos terminado la auditoría, nos toca generar los informes con todo lo que hemos realizado, las vulnerabilidades encontradas y su posterior explotación. Suele haber dos tipos de informes, el ejecutivo, más orientado a los altos cargos de la empresa y en el que mostraremos la información recopilada (las vulnerabilidades y como de criticas son) con muchos gráficos como a ellos les gusta.
Por otra parte haremos el informe técnico que será mucho más amplio y en el que contaremos con más detalle toda la información obtenida.
También tenemos las modalidades de auditoría que son tres y que son válidas tanto para auditorías internas como externas.
- Caja blanca: Conoceremos usuario y contraseña de usuario con derechos de administrador.
- Caja gris: En este caso conoceremos un usuario y contraseña, bien de la pagina web (en caso de una auditoría externa) o bien de un usuario de la red (por ejemplo en caso de ser una auditoría interna). En ambos casos sería un usuario con pocos privilegios.
- Caja negra: Comenzaremos la auditoría sin conocer ningún dato de la empresa para ver hasta donde podríamos llegar.
Os dejo unos enlaces que considero necesarios conocer para las auditorías.
Metodología en auditorías web:
Método OWASP: V3En Castellano, V4 en Inglés y Testing Checklist
OSSTMM: V2.1 En Castellano En Castellano
Ya tenéis lectura para rato.
Roberto García (@1GbDeInfo)
