Introducción al pentesting

1. ¿Qué son las pruebas de penetración?
2. Ética en las pruebas de penetración
3. Reglas de enfrentamiento (ROE)
4. Metodologías de pruebas de penetración
5. Caja negra, caja blanca, caja gris Pruebas de penetración

¿Qué son las pruebas de penetración?

Las pruebas de penetración son un tipo de prueba de seguridad que consiste en simular un ciberataque contra un sistema informático para detectar y explotar sus vulnerabilidades. El objetivo es identificar los puntos débiles que podrían ser aprovechados por los hackers maliciosos y recomendar medidas para mejorar la seguridad. Las pruebas de penetración se realizan por hackers éticos, que son profesionales de la ciberseguridad contratados para hackear un sistema con permiso y fines constructivos. Hay diferentes tipos de pruebas de penetración según el nivel de información que se proporciona al hacker y el alcance del ataque.

Ética en las pruebas de penetración

Las pruebas de penetración son una auditoría autorizada de la seguridad y las defensas de un sistema informático según lo acordado por los propietarios de los sistemas. La legalidad de la penetración es bastante clara en este sentido; Cualquier cosa que quede fuera de este acuerdo se considera no autorizada.

Antes de que comience una prueba de penetración, se produce una discusión formal entre el probador de penetración y el propietario del sistema. Se acuerdan varias herramientas, técnicas y sistemas a probar. Esta discusión forma el alcance del acuerdo de prueba de penetración y determinará el curso que toma la prueba de penetración.

Las empresas que brindan servicios de pruebas de penetración se mantienen contra los marcos legales y la acreditación de la industria. Por ejemplo, el Centro Nacional de Seguridad Cibernética (NCSC) tiene el esquema de acreditación CHECK en el Reino Unido. Esta verificación significa que solo «las empresas aprobadas [CHECK] pueden realizar pruebas de penetración autorizadas del sector público y de los sistemas y redes CNI». (NCSC).

La ética es el debate moral entre el bien y el mal; Cuando una acción puede ser legal, puede ir en contra del sistema de creencias de un individuo de lo correcto y lo incorrecto.

Los probadores de penetración a menudo se enfrentarán a decisiones potencialmente cuestionables moralmente durante una prueba de penetración. Por ejemplo, están obteniendo acceso a una base de datos y se les presentan datos potencialmente confidenciales. O tal vez están realizando un ataque de phishing contra un empleado para probar la seguridad humana de una organización. Si esa acción ha sido acordada durante las etapas iniciales, es legal, aunque éticamente cuestionable.

Los hackers se clasifican en tres sombreros, donde su ética y motivaciones detrás de sus acciones determinan en qué categoría de sombrero se colocan. Vamos a cubrir estos tres en la siguiente tabla:

Categoría de sombrero	Descripción	Ejemplo
Sombrero blanco	Estos hackers son considerados las «buenas personas». Permanecen dentro de la ley y usan sus habilidades para beneficiar a otros.	Por ejemplo, un probador de penetración que realiza un compromiso autorizado en una empresa.
Sombrero gris	Estas personas usan sus habilidades para beneficiar a otros a menudo; Sin embargo, no respetan / siguen la ley o las normas éticas en todo momento.	Por ejemplo, alguien que derriba un sitio fraudulento.
Sombrero negro	Estas personas son delincuentes y a menudo buscan dañar a las organizaciones u obtener algún tipo de beneficio financiero a costa de otros.	Por ejemplo, los autores de ransomware infectan dispositivos con código malicioso y retienen datos para pedir un rescate.

Reglas de enfrentamiento (ROE)

Las Reglas de Enfrentamiento (ROE) son un conjunto de reglas que definen los límites de lo que un probador de penetración puede hacer durante una prueba de penetración. Las ROE se establecen antes de la prueba de penetración y se acuerdan entre el probador de penetración y el propietario del sistema.

Las ROE suelen cubrir los siguientes aspectos:

• Los sistemas y redes que se pueden probar.
• Los tipos de pruebas que se pueden realizar.
• Los datos que se pueden recopilar.
• Los daños que se pueden causar a los sistemas y redes.

Las ROE son importantes para garantizar que las pruebas de penetración se lleven a cabo de forma segura y ética. También ayudan a proteger los sistemas y redes del propietario del sistema de daños innecesarios.

Aquí hay algunos ejemplos de reglas que se pueden incluir en las ROE:

• El probador de penetración no puede acceder a sistemas o redes que no estén dentro del alcance de la prueba.
• El probador de penetración no puede usar herramientas o técnicas que puedan dañar los sistemas o redes.
• El probador de penetración no puede recopilar datos que no estén dentro del alcance de la prueba.
• El probador de penetración debe informar al propietario del sistema de cualquier vulnerabilidad que encuentre.

Las ROE deben ser personalizadas para cada prueba de penetración específica. Es importante que las ROE se acuerden entre el probador de penetración y el propietario del sistema antes de que comience la prueba.

Metodologías de pruebas de penetración

Hay muchas diferentes metodologías de pruebas de penetración, pero todas siguen un conjunto básico de pasos. Estos pasos son:

1. Recopilación de información: Los probadores de penetración comienzan recopilando tanta información como sea posible sobre el sistema objetivo. Esto puede incluir información de dominio público, como la dirección IP del sistema, los nombres de los servicios que se ejecutan en el sistema y los nombres de los usuarios que tienen acceso al sistema.
2. Enumeración y análisis: Una vez que los probadores de penetración han recopilado información sobre el sistema objetivo, comienzan a enumerar los sistemas y servicios que se ejecutan en el sistema. También analizan la configuración del sistema en busca de posibles vulnerabilidades.
3. Explotación: Una vez que los probadores de penetración han identificado vulnerabilidades en el sistema, intentan explotarlas para obtener acceso al sistema. Esto puede implicar el uso de exploits públicos o la explotación de la lógica de la aplicación.
4. Escalada de privilegios: Una vez que los probadores de penetración han obtenido acceso al sistema, intentan escalar sus privilegios para obtener acceso a más partes del sistema. Esto puede implicar el uso de exploits públicos o la explotación de la lógica de la aplicación.
5. Post-explotación: Una vez que los probadores de penetración han obtenido acceso al sistema, pueden intentar recopilar más información del sistema o causar daño al sistema. Esto puede implicar el robo de datos, la denegación de servicio del sistema o la instalación de malware en el sistema.

Los probadores de penetración preparan un informe que describe las vulnerabilidades que encontraron y cómo pueden ser explotadas. Este informe se proporciona al propietario del sistema para que pueda tomar medidas para remediar las vulnerabilidades.

Las pruebas de penetración son una herramienta importante para evaluar la seguridad de un sistema informático. Al encontrar y remediar las vulnerabilidades, las pruebas de penetración pueden ayudar a proteger a las organizaciones de los ataques cibernéticos.

OSSTMM

El Manual de metodología de pruebas de seguridad de código abierto proporciona un marco detallado de estrategias de prueba para sistemas, software, aplicaciones, comunicaciones y el aspecto humano de la ciberseguridad. La metodología se centra principalmente en cómo se comunican estos sistemas, aplicaciones, por lo que incluye una metodología para:

• Telecomunicaciones (teléfonos, VoIP, etc.)
• Redes cableadas
• Comunicaciones inalámbricas

Ventajas

• Cubre varias estrategias de prueba en profundidad.
• Incluye estrategias de prueba para objetivos específicos (es decir, telecomunicaciones y redes)
• El marco es flexible dependiendo de las necesidades de la organización.
• El marco está destinado a establecer un estándar para sistemas y aplicaciones, lo que significa que se puede utilizar una metodología universal en un escenario de prueba de penetración.

Desventajas

• El marco es difícil de entender, muy detallado y tiende a utilizar definiciones únicas.
• Se deja en blanco intencionadamente.

OWASP

El proyecto Open Web Application Security (OWASP) es un marco impulsado por la comunidad y actualizado con frecuencia que se utiliza únicamente para probar la seguridad de las aplicaciones y servicios web. La fundación escribe regularmente informes que indican las diez principales vulnerabilidades de seguridad que puede tener una aplicación web, el enfoque de prueba y la corrección.

Ventajas

• Fácil de aprender y entender.
• Se mantiene activamente y se actualiza con frecuencia.
• Cubre todas las etapas de un compromiso: desde las pruebas hasta la presentación de informes y la corrección.
• OWASP no hace sugerencias a ningún ciclo de vida de desarrollo de software específico.

Desventajas

• El marco no tiene ninguna acreditación como CHECK.
• Se especializa en aplicaciones y servicios web.

NIST Marco de ciberseguridad 1.1

El Marco de Ciberseguridad del NIST es un marco popular utilizado para mejorar los estándares de ciberseguridad de una organización y gestionar el riesgo de amenazas cibernéticas. Este marco es una mención un poco honorable debido a su popularidad y detalle.

El marco proporciona directrices sobre controles de seguridad y puntos de referencia para el éxito de las organizaciones, desde la infraestructura crítica (centrales eléctricas, etc.) hasta la comercial. Hay una sección limitada en una guía estándar para la metodología que debe tomar un probador de penetración.

Ventajas

• Se estima que el Marco NIST será utilizado por el 50% de las organizaciones estadounidenses para 2020.
• El marco es extremadamente detallado en el establecimiento de estándares para ayudar a las organizaciones a mitigar la amenaza planteada por las amenazas cibernéticas.
• El marco se actualiza con mucha frecuencia.
• NIST proporciona acreditación para organizaciones que utilizan este marco.
• El marco está diseñado para ser implementado junto con otros marcos.

Desventajas

• NIST tiene muchas iteraciones de marcos, por lo que puede ser difícil decidir cuál se aplica a su organización.
• El marco no considera la computación en la nube, que se está volviendo cada vez más popular para las organizaciones.
• El marco tiene políticas de auditoría débiles, lo que dificulta determinar cómo se produjo una violación.

NCSC CAF

El Marco de Evaluación Cibernética (CAF) es un extenso marco de catorce principios utilizados para evaluar el riesgo de diversas amenazas cibernéticas y las defensas de una organización contra estas.

El marco se aplica a las organizaciones que se considera que realizan «servicios y actividades de vital importancia», como infraestructura crítica, banca y similares. El marco se centra principalmente y evalúa los siguientes temas:

• Seguridad de los datos
• Seguridad del sistema
• Identidad y control de acceso
• Resiliencia
• Monitorización
• Planificación de la respuesta y la recuperación

Ventajas

• Este marco está respaldado por una agencia gubernamental de ciberseguridad.
• Este marco proporciona acreditación.
• El marco se basa en principios e ideas y no es tan directo como tener reglas como otros marcos.
• Este marco abarca catorce principios que van desde la seguridad hasta la respuesta.

Desventajas

• El marco aún es nuevo en la industria, lo que significa que las organizaciones no han tenido mucho tiempo para realizar los cambios necesarios para ser adecuadas para él.
• El marco se basa en principios e ideas y no es tan directo como tener reglas como otros marcos.

Caja negra, caja blanca, caja gris Pruebas de penetración

Pruebas de caja negra

Las pruebas de caja negra son un tipo de prueba en el que el probador no tiene conocimiento del código interno de la aplicación. El probador solo conoce la interfaz de usuario de la aplicación y prueba la aplicación interactuando con la interfaz de usuario. Las pruebas de caja negra son un tipo de prueba de aceptación del usuario y se utilizan para asegurarse de que la aplicación cumple con los requisitos del usuario.

Las pruebas de caja negra se pueden realizar manualmente o utilizando herramientas automatizadas. Las herramientas automatizadas de pruebas de caja negra pueden ayudar a los probadores a ejecutar pruebas más rápidamente y con mayor precisión.

Las pruebas de caja negra son aquellas en las que el hacker de sombrero blanco no tiene información previa sobre las políticas de seguridad, el diagrama de arquitectura, los códigos fuente y demás información de tu estructura de IT. En la metodología de prueba de penetración de caja negra, la compañía permite que los probadores de sombrero blanco se hagan pasar por un atacante común sin privilegio de acceso alguno¹.

Pruebas de caja gris

Las pruebas de caja gris son un tipo de prueba que se encuentra entre las pruebas de caja negra y las pruebas de caja blanca. En las pruebas de caja gris, el probador tiene cierto conocimiento del código interno de la aplicación, pero no todo el conocimiento. El probador utiliza este conocimiento para probar la aplicación de una manera más profunda que las pruebas de caja negra.

En las pruebas de caja gris, el probador tiene conocimientos básicos de tu sistema, las aplicaciones en uso y el estado de tu red. Para las pruebas de penetración de caja gris, el evaluador obtiene credenciales de bajo nivel, así como mapas de red y diagramas de flujo lógico¹.

En las pruebas de caja blanca, el evaluador tiene todos los privilegios de información relacionados a tus sistemas, lo que significa que tienen credenciales, códigos fuente, mapas de infraestructura y todo lo necesario para atacar tu sistema¹.

Pruebas de caja blanca

Las pruebas de caja blanca son un tipo de prueba en el que el probador tiene pleno conocimiento del código interno de la aplicación. El probador utiliza este conocimiento para probar la aplicación de una manera muy profunda. Las pruebas de caja blanca se utilizan para identificar vulnerabilidades de seguridad en la aplicación.

En las pruebas de caja blanca, el evaluador tiene todos los privilegios de información relacionados a tus sistemas, lo que significa que tienen credenciales, códigos fuente, mapas de infraestructura y todo lo necesario para atacar tu sistema¹.

Ventajas y desventajas de cada tipo de prueba

Cada tipo de prueba tiene sus propias ventajas y desventajas. Las pruebas de caja negra son el tipo de prueba más rápido y fácil de realizar, pero también son el tipo de prueba menos eficiente. Las pruebas de caja gris son más eficientes que las pruebas de caja negra, pero requieren más tiempo y esfuerzo que las pruebas de caja negra. Las pruebas de caja blanca son el tipo de prueba más eficiente, pero requieren más tiempo y esfuerzo que las pruebas de caja negra y las pruebas de caja gris.

La elección del tipo de prueba más adecuado

El tipo de prueba más adecuado para una aplicación en particular dependerá de una serie de factores, incluyendo el tamaño de la aplicación, la complejidad de la aplicación y los recursos disponibles. Las aplicaciones pequeñas y simples pueden ser probadas con éxito utilizando pruebas de caja negra. Las aplicaciones grandes y complejas requieren un enfoque más completo que las pruebas de caja negra. Las aplicaciones críticas para la seguridad deben ser probadas utilizando pruebas de caja blanca.