Examen de penetración

método mediante el cual se evalúa la seguridad de un sistema informático, mediante un ataque simulado.

Una prueba de penetración, o pentest, es un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos.[1][2]​ El proceso consiste en identificar el o los sistemas del objetivo. Las pruebas de penetración pueden hacerse sobre una "caja blanca" (donde se ofrece toda la información de fondo y de sistema) o caja negra (donde no se proporciona información, excepto el nombre de la empresa). Una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.[3]

Los problemas de seguridad descubiertos a través de la prueba de penetración deben notificarse al propietario del sistema.[4]​ Con los resultados de las pruebas de penetración podremos evaluar los impactos potenciales a la organización y sugerir medidas para reducir los riesgos[5]

Las pruebas de penetración son valiosas por varias razones:

  1. Determinar la posibilidad de éxito de un ataque.
  2. Identificación de vulnerabilidades de alto riesgo que resultan de una combinación de vulnerabilidades de menor riesgo explotadas en una secuencia particular.
  3. Identificación de vulnerabilidades que pueden ser difíciles o imposibles de detectar con red automatizada o un software de análisis de vulnerabilidades.
  4. Comprobar la capacidad de los defensores de la red para detectar con éxito y responder a los ataques.

Historia

editar

A mediados de la década de 1960, la creciente popularidad de los sistemas informáticos de tiempo compartido accesibles a través de líneas de comunicación telefónica creó nuevas preocupaciones de seguridad. En junio de 1965, por ejemplo, varios de los principales expertos en seguridad informática celebraron una de las primeras grandes conferencias sobre seguridad de sistemas, organizada por la System Development Corporation (SDC), contratista del gobierno de los Estados Unidos.[6]​ Durante la conferencia, se observó que un empleado de la SDC había sido capaz de evadir fácilmente las protecciones añadidas al sistema informático de tiempo compartido AN/FSQ-32 de la SDC. De este modelo de computadoras solo fueron manufacturadas dos unidades, la otra estaba en manos de la Agencia Central de Inteligencia de los Estados Unidos y evidentemente que era preocupante este suceso acontecido.[7]

Con la esperanza de que el estudio adicional sobre la seguridad de sistemas fuera de utilidad, los asistentes pidieron que "se realicen estudios en áreas tales como romper protecciones de seguridad en el sistema de tiempo compartido." En otras palabras, los participantes de la conferencia iniciaron una de las primeras peticiones formales para usar la penetración de computadoras como una herramienta para el estudio de la seguridad de sistemas.[8]

En la primavera de 1967 muchos de los especialistas en informática más importantes del país se reunieron de nuevo para discutir sus preocupaciones acerca de la seguridad de sistemas. Durante esta conferencia, los expertos en seguridad informática Willis Ware, Harold Petersen y Rein Tern, todos de la Corporación RAND, y Bernard Peters de la Agencia de Seguridad Nacional (NSA), utilzaron la frase "penetración" para describir un ataque contra un sistema informático. En un documento, Ware refiere a los sistemas de tiempo compartido de acceso remoto de los militares, y advirtió que "Es necesario realizar intentos deliberados sobre estos sistemas." Sus colegas Petersen y Gire compartieron las mismas preocupaciones, observando que los sistemas de comunicación en línea "... son vulnerables a las amenazas a la privacidad," incluyendo "penetración deliberada". Bernard Peters de la NSA hizo el mismo punto, insistiendo en que la entrada y salida de datos de las computadoras "podrían proporcionar grandes cantidades de información a un programa de penetración." [9]

La amenaza que la penetración de computadoras planteaba, fue delineada en un importante reporte organizado por el Departamento de Defensa de los Estados Unidos de América (DoD) a fines de 1967. En esencia, funcionarios del Departamento de Defensa recurrieron a Willis Ware para dirigir un grupo de trabajo de expertos de la NSA, la CIA, el DoD, la academia y la industria para evaluar formalmente la seguridad de los sistemas informáticos de tiempo compartido remotamente accesibles. Apoyándose en varios trabajos de investigación presentados durante la primavera de 1967 en la "Joint Computer Conference", el grupo de trabajo confirmó en gran medida la amenaza a la seguridad de los sistemas por medio de la penetración de computadoras. Aunque el informe de Ware fue inicialmente de carácter clasificado, muchos de los expertos en informática más importantes del país identificaron rápidamente el estudio como el documento definitivo sobre la seguridad informática.[9]

Para tener una mejor comprensión de las debilidades del sistema, el gobierno federal y sus contratistas pronto comenzaron a organizar equipos de penetradores, conocidos como equipo tigre,[10]​ para utilizar la penetración de computadoras "pentesting" como medio para la seguridad del sistema de prueba. Deborah Russell y GT Gangemi, declararon que durante la década de 1970 los equipos tigre aparecieron por primera vez.[11]​ Uno de los principales estudiosos de la historia de la seguridad informática, Donald MacKenzie, señala igualmente que "RAND había hecho algunos estudios de penetración de sistemas de tiempo compartido en nombre del gobierno ."[12]​ Jeffrey R. Yost del Instituto Charles Babbage, en su obra sobre la historia de la seguridad informática, también reconoce que tanto la Corporación RAND y COSUDE habían "participado en algunos de los primeros llamados 'estudios de penetración 'para tratar de infiltrarse en sistemas de tiempo compartido con el fin de poner a prueba su vulnerabilidad ".[13]

En los años siguientes, el uso de la penetración de las computadoras "Pentesting" como una herramienta para la evaluación de seguridad sólo se volvería más refinada y sofisticada. A principios de 1980, el periodista William Amplio resumió brevemente los esfuerzos de los 'equipos tigre' para evaluar la seguridad del sistema. El informe patrocinado por el Departamento de Defensa de Willis Ware había , mostrado cómo los espías podrían penetrar activamente computadoras, robar o copiar archivos electrónicos y subvertir los dispositivos que normalmente guardan información de alto secreto."[14]

Normas y certificación

editar

La oficina de Revisión de Certificaciones de Seguridad Informática (IACRB) gestiona una certificación sobre pruebas de penetración conocida como Certified Penetration Tester (CPT). El CPT exige que el candidato apruebe un examen de opción múltiple tradicional, así como aprobar un examen práctico en la cual se requiere que el candidato lleve a cabo una prueba de penetración contra servidores en una máquina virtual[15]

Herramientas

editar

Distribuciones de sistemas operativos especializados

editar

Hay varias distribuciones de sistemas operativos, que están orientados a la realización de pruebas de penetración.[16]​ Estas distribuciones contienen un conjunto pre-instalado y preconfigurado de herramientas. Esto es útil porque el probador "tester" de penetración no tiene que buscar o instalar alguna herramienta.

Los sistemas populares son Kali Linux (sustituyendo BackTrack a partir de diciembre de 2012) basada en Debian Linux, Pentoo, basada en Gentoo Linux y WHAX basadas en Slackware Linux.[17][18]​ Hay muchos otros sistemas operativos especializados para pruebas de penetración, cada uno más o menos dedicados a un campo específico de pruebas de penetración.

Hoy en día, también hay una serie de distribuciones de Linux que incluyen deliberadamente una serie de sistemas operativos y de aplicaciones conocidas y pueden ser desplegados como "objetivos". Estos sistemas ayudan a los nuevos profesionales de la seguridad para tratar con las últimas herramientas de seguridad en un entorno de laboratorio. Algunos ejemplos incluyen linux (DVL), el OWASP Web Testing Environment (WTW) y Metasploit.

Software para "pentesting"

editar

Herramientas para pruebas automatizadas

editar

El proceso de pruebas de penetración, puede simplificarse en dos partes:

  • El descubrimiento de una combinación de operaciones legales que le permitirá el probador ejecutar una operación ilegal.
Un solo defecto puede no ser suficiente para permitir un ataque serio. Aprovechando múltiples defectos y ataques específicos es posible entrar al sistema. Metasploit proporciona una biblioteca en el lenguaje rubí para las tareas comunes y mantiene una base de datos de ataques populares.
Bajo las limitaciones presupuestarias y de tiempo, fuzzing es una técnica común para descubrir vulnerabilidades. Lo que se pretende hacer es conseguir un error no controlado a través de la entrada al azar.
  • La operación ilegal, también conocida como una carga útil de acuerdo con la terminología Metasploit: controlador de ratón remoto, webcam peeker, ad popupper, drone botnet o ladrón de contraseñas hash. Consulte la lista de carga útil Metasploit para más ejemplos.

Algunas empresas mantienen grandes bases de datos de ataques conocidos y ofrecen productos para ver si tu sistema es vulnerable.

Véase también

editar

Referencias

editar
  1. John Wiley & Sons, ed. (2007). El CISSP® y Guía CAPCM preparación: Platinum Edition. ISBN 978-0-470-00792-1. «Una prueba de penetración puede determinar cómo un sistema reacciona a un ataque, si las defensas de un sistema pueden ser violados, y qué información puede ser adquirido desde el sistema». 
  2. Kevin M. Henry. Pruebas de Penetración: Protección de Redes y Sistemas. Gobierno de TI Ltd. ISBN 978-1- 849-28371-7. «Pruebas de penetración es la simulación de un ataque de un sistema, red, equipo u otro centro, con el objetivo de demostrar lo vulnerable que sistema o "blanco" sería la de un ataque real.» 
  3. SANS Institute (ed.). «Pruebas de Penetración:. Evaluación de su Seguridad general Antes atacantes hacer». Consultado el 16 de enero de 2014. 
  4. SANS Institute (ed.). «Escribir un Penetration Testing Informe». Consultado el 12 de enero de 2015. 
  5. SANS Institute (ed.). «Escribir un Penetration Testing Informe». Consultado el 12 de enero de 2015. 
  6. «System Development Corporation» (html). CA Highways (en inglés). Archivado desde el original el 12 de agosto de 2004. Consultado el 12 de julio de 2018. «System Development Corporation evolved out of the System Development Division of the RAND Corporation. The RAND Corporation was a non-profit group incorporated in 1948 by technical engineers and military people who worked together during World War II. The System Development Division was established in 1955 to prepare SAGE (Semi-Automatic Ground Environment) system training programs. They also studied human and machine interactions, and how systems of people and machines worked together.» 
  7. Mize, Roy (5 de abril de 2010). «IBM SAGE» (html). Ed Thelen Org (en inglés). Archivado desde el original el 20 de mayo de 2010. Consultado el 12 de julio de 2018. «Number of AN/FSQ-32 computers manufactured: 2 Locations" 1 at SDC; 1 at IBM (One source states that 1 system went to the CIA)». 
  8. Hunt (2012), pp. 7-8
  9. a b Hunt (2012), p. 8
  10. «Definition - What does Tiger Team mean?» (html). Techopedia (en inglés). Archivado desde el original el 30 de junio de 2012. Consultado el 12 de julio de 2018. «A tiger team is commonly defined as a group of professionals who either engage in attempts to physically penetrate a secured location, or work on using hacking strategies to penetrate a virtual environment. Although this term is sometimes used more generally for any team of skilled professionals, it often has a specific meaning in IT related to cyber threats, testing and anti-hacking activities.» 
  11. Russell y Gangemi, Sr. (1991), p. 29
  12. MacKenzie (2001), p. 156
  13. Yost (2007), pp. 601-602
  14. Amplio, William J. (25 de septiembre de 1983). "Seguridad Informática preocupa a los expertos militares", New York Times
  15. «CWAPT - PENETRACIÓN CERTIFICADA TESTER». IACRB. Consultado el 17 de enero de 2012. 
  16. Faircloth, Jeremy (2011). «Capítulo 1». Open Source Toolkit de Penetración Tester, Tercera Edición (Tercer edición). Elsevier. ISBN 1597496278. 
  17. conceptos Kali Penetration Testing. ISBN 978-1-78216-316-9. «Los creadores de BackTrack ha lanzado un nuevo y avanzado de distribución de pruebas de penetración de Linux llamado Kali Linux». 
  18. Conceptos Kali Penetration Testing. «Kali Linux está diseñado para seguir el flujo de un compromiso de servicio Penetration Testing». 
  19. FOCA

Enlaces externos

editar

«Lista de software Pruebas de red Penetración». Archivado desde el original el 14 de julio de 2011. Consultado el 4 de agosto de 2016.