viernes, 27 de diciembre de 2013

FASES DE UN PENTESTING


#Fase 1 - 1NF0RM4TI0N G4TH3R1NG: Conociendo a nuestro objetivo

Para realizar un pentest (y no morir en el intento), debemos seguir una metodología de trabajo, algo que nos marque los pasos a seguir con el fin de no omitir nada. Al seguir una metodología también sabremos que limites podemos cruzar y cuales no. Recordemos que al realizar un test de penetración podemos llegar a dañar el sistema que estamos auditando. Esta metodología nos ayudará a lo largo de toda la auditoría, y al llegar al final, a realizar un reporte completo y comprensible (recordemos que el reporte será visto por gente que tiene conocimientos de informática y gente que no). Por lo expuesto, seguir un conjunto de pasos se vuelve fundamental, y sobre todo para esta primera fase que voy a presentar, la fase de obtención de información del objetivo. Mientras mas información obtengamos del sistema mayores probabilidades tenemos de comprometerlo dado que vamos a conocer la mayoría de los vectores de ataque (uso de exploits, ingeniería social, inyecciones sql, xss, etc). En esta fase podemos teneuna recolección de datos en forma pasiva y otra activa. Cuando hablamos de Information Gathering pasivo nos referimos a aquellos datos que podemos conseguir de la organización a auditar sin tener que interactuar con ella directamente. En el caso de la recolección de datos activa, interactuamos directamente con la organización, por ej. al realizar un escaneo (salvo que algún FTP con rebote nos ayude). 

A medida que avance con las publicaciones mostraré las técnicas y herramientas utilizadas para cada fase, esa es la parte más interesante no? Ya voy a llegar, paciencia!

La fase de INFORMATION GATHERING está compuesta por 3 sub-fases:

Footprinting: En esta subfase armamos el perfil de la Organización a auditar, buscamos información en la web, ya sea mediante buscadores (Google y el famoso “Google hacking”), sitios que brindan información sobre dominios (Serversniff.net, Netcraft.com, etc.) o herramientas especialmente desarrolladas para esta etapa (Maltego, Sam Spade, etc.). Está fase se considera pasiva, dado que no interactuamos directamente con la organización. 

Scanning: En esta sub-fase realizamos un escaneo de los equipos de la organización, aquí identificamos puertos abiertos, servicios que corren en esos puertos, firewalls, puntos de acceso y Sistemas Operativos. Algunas herramientas para el escaneo de puertos y vulnerabilidades son Nmap, Nessus, Hping2, Firewalk, etc. Esta sub-fase y la siguiente son activas ya que nos conectamos directamente con la Organización para la obtención de información.

Enumeration: En la enumeración tratamos de obtener información sobre nombres de usuario, elementos compartidos que no se encuentren bien protegidos, recursos de red  y aplicaciones. Generamos un mapa completo de la red que se encuentra detrás de la organización.

Social Engineering: La ingeniería social puede servirnos en cualquiera de las subfases para conseguir información. La ingeniería social es el arte de engañar al factor humano (lo que algunos llaman, "hackear a las personas" jeje). Apelando a la bondad de las personas, al deseo de ayudar o a la lástima se puede obtener ciertos datos muy útiles de la Organización. Ya veremos mas adelante ciertas técnicas y aplicaciones que nos ayudan en esta particular y apasionante actividad.

Como dije antes, la Fase de INFORMATION GATHERING es la fase mas importante de un pentesting, si realizamos una buena recolección de información tenemos muchas mas posibilidades de comprometer un sistema, NO LO OLVIDES!

Antes de irme quisiera recomendarles que lean un manual con la metodología para un testeo de seguridad creado por el Institute For Security And Open Methodologies (ISECOM), esta completamente en español:
http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

El original está en ingles y mas actualizado, por si quieren leerlo aquí les dejo el link:
http://www.isecom.org/mirror/OSSTMM.3.pdf

Espero que haya sido de utilidad. Si quieren ver la siguiente fase, se los dejo aquí

Saludos y...

HAPPY HACKING!