Successfully reported this slideshow.
Guía técnica de Pruebas y Evaluación de Seguridad de la                          Información     Recomendaciones del Insti...
solicitar contraseñas de un usuario, o llamando a la mesa de ayuda para hacersepasar por un usuario y solicitar que una co...
proceso que es automática para los escáneres de vulnerabilidad) y elconocimiento de las vulnerabilidades de los probadores...
vulnerabilidades explotadas en las pruebas de penetración son las siguientescategorías:Errores de configuración. Malas con...
Es importante tener en cuenta que dependiendo de las políticas de la organización, losevaluadores pueden ser prohibidos de...
Upcoming SlideShare
Loading in …5
×

Evaluación - Test de penetracion

1,564 views

Published on

Guía técnica de Pruebas y Evaluación de Seguridad de la Información
Recomendaciones del NIST Publicación 800-115 - Resumen referente a evaluaciones de un Test de Penetración.

Published in: Technology
  • Be the first to comment

Evaluación - Test de penetracion

  1. 1. Guía técnica de Pruebas y Evaluación de Seguridad de la Información Recomendaciones del Instituto Nacional de Estándares y TecnologíaEl propósito es proporcionar una guía para las organizaciones en la planificación y la realizaciónde las pruebas técnicas de seguridad de la información y las evaluaciones, análisis de losresultados, y el desarrollo de estrategias de mitigación. Se ofrece recomendaciones prácticas parael diseño, implementación y mantenimiento de la información técnica relativa a las pruebas deseguridad y los procesos y procedimientos de evaluación, que puede ser usado para variospropósitos, tales como la búsqueda de vulnerabilidades en un sistema o red y verificar elcumplimiento de una política o de otro tipo.Pruebas de PenetraciónLas pruebas de penetración son las pruebas de seguridad en el que los evaluadoresimitan ataques del mundo real para identificar los métodos para burlar las medidas deseguridad de una aplicación, sistema o red. A menudo consiste en lanzar ataquesreales en sistemas reales utilizando las herramientas y técnicas comúnmenteutilizados por los atacantes. La mayoría de las pruebas de penetración implica labúsqueda de una combinación de vulnerabilidades en uno o más sistemas que puedenutilizarse para obtener más acceso que a través de una sola vulnerabilidad.Las pruebas de penetración también pueden ser útiles para determinar: ¿Qué tan bien tolera el sistema patrones de ataques de estilo real El nivel de sofisticación necesario que un atacante necesita para comprometer el sistema con éxito Medidas adicionales que podrían mitigar las amenazas contra el sistema Capacidad de los defensores para detectar los ataques y responder apropiadamente.Las pruebas de penetración pueden ser muy valiosas, pero requiere mucho trabajo ygran experiencia para reducir al mínimo el riesgo para los sistemas que entraran en eltesteo. Los sistemas pueden ser dañados o de otras maneras inoperantes durante elcurso de las pruebas de penetración, a pesar de que la organización se beneficia desaber cómo un sistema puede ser inutilizado por un intruso. Sin embargo lapenetración de evaluadores con experiencia puede mitigar este riesgo, nunca puedeser totalmente eliminado.Las pruebas de penetración deben realizarse solamente después de una cuidadosaconsideración, notificación, y la planificación.Las pruebas de intrusión a menudo incluye métodos no técnicos de ataque. Porejemplo, una prueba de intrusión puede violar los controles físicos y procedimientos deseguridad para conectarse a una red, robar equipos, captura de información sensible(tal vez mediante la instalación de dispositivos de registro de teclas), o interrumpir lascomunicaciones.Se debe tener precaución al realizar las pruebas de seguridad física, los guardiasdeben ser conscientes de cómo verificar la validez de la actividad de la persona querealiza el testeo, como por ejemplo a través de un punto de contacto o de ladocumentación que el porte. Otros medios no técnicos de ataque es el uso deingeniería social, tales como pasar por un analista de mesa de ayuda y llamar para
  2. 2. solicitar contraseñas de un usuario, o llamando a la mesa de ayuda para hacersepasar por un usuario y solicitar que una contraseña sea restaurada.Fases de Pruebas de PenetraciónLa Figura 1.5 representa las cuatro fases del test de penetración. En la fase deplanificación, las reglas son identificadas, aprobación de la dirección se consideraterminada y documentada, y los objetivos de la prueba se encuentran ya definidas. Lafase de planificación establece las bases para una prueba de penetración exitosa. Nohay pruebas reales que se produzcan en esta fase.La fase de descubrimiento de pruebas de penetración consta de dos partes. Laprimera parte es el comienzo de las pruebas reales, y cubre la recopilación deinformación y análisis. Identificación de puertos de red y de servicios, se llevana cabo para identificar posibles objetivos. Además de la identificación depuertos y servicios, se utilizan otras técnicas para recoger información sobre lared objetivo como:Nombre de host y la información de la dirección IP puede ser obtenida através de muchos métodos, incluido el interrogatorio de DNS, las consultas deInterNIC (WHOIS), y la network sniffing (por lo general sólo durante las pruebasinternas)Nombres de empleados e información de contacto se pueden obtenermediante la búsqueda de los servidores Web de la organización o deservidores de directorioInformación del sistema, tales como nombres y accesos compartidos sepueden encontrar a través de métodos tales como la enumeración de NetBIOS(por lo general sólo durante las pruebas internas) y el Sistema de Informaciónde Red (NIS) (por lo general sólo durante las pruebas internas)Aplicaciones y servicios de información, como números de versión, sepueden registrar a través banner grabbing.La segunda parte de la fase de descubrimiento es el análisis de vulnerabilidad,que consiste en comparar los servicios, aplicaciones y sistemas operativosescaneados de los hosts contra las vulnerabilidades de las bases de datos (un
  3. 3. proceso que es automática para los escáneres de vulnerabilidad) y elconocimiento de las vulnerabilidades de los probadoresLa ejecución de un ataque está en el corazón de cualquier prueba depenetración. La Figura 5.2 representa los distintos pasos de la fase de ataque,el proceso de verificación de posibles vulnerabilidades previamenteidentificadas para tratar de explotarlos. Si el ataque tiene éxito, la vulnerabilidadse verifica y se identifican las acciones para mitigar los riesgos de seguridadasociados.En muchos casos, los exploits que se ejecutan no conceden el máximo nivel deacceso a un atacante. Esto puede generar en que los evaluadores aprendanmás sobre la red objetivo y sus posibles vulnerabilidades, o inducir a un cambioen la seguridad de la red objetivo. Algunas brechas de seguridad permiten a losevaluadores elevar sus privilegios en el sistema o la red para que puedanacceder a recursos adicionales. Si esto ocurre, el análisis y pruebas adicionalesson necesarias para determinar el verdadero nivel de riesgo de la red, talescomo la identificación de tipos de información que pueden ser obtenidas, si esposible cambiarlas o eliminarlas del sistema. En el caso de un ataque contrauna vulnerabilidad específica resulte imposible, el evaluador debe aprovecharotra vulnerabilidad descubierta para continuar con el test. Si los evaluadoresson capaces de explotar una vulnerabilidad, ellos podrán instalar másherramientas en el sistema de destino o de la red para facilitar el proceso deprueba. Estas herramientas se utilizan para acceder a los sistemas o recursosadicionales en la red, y obtener acceso a la información sobre la red uorganización. Pruebas y análisis en varios sistemas deben ser llevadas a cabodurante una prueba de penetración para determinar el nivel de acceso que unatacante podría ganar. Este proceso se representa en el circuito deretroalimentación en la Figura 5-1 entre el ataque y la fase de descubrimientode un test de penetración.ºMientras que los escáneres de vulnerabilidad sólo se ejecutan para comprobar laposible existencia de una vulnerabilidad, la fase de ataque de una prueba depenetración explota la vulnerabilidad para confirmar su existencia. La mayoría de las
  4. 4. vulnerabilidades explotadas en las pruebas de penetración son las siguientescategorías:Errores de configuración. Malas configuraciones de seguridad, configuracionespredeterminadas son particularmente inseguras, estas suelen ser fáciles de explotar.Defectos del núcleo. El código del kernel es el núcleo de un sistema operativo, elmismo impone el modelo de seguridad global del sistema por lo que cualquier falla deseguridad en el kernel pone todo el sistema en peligro.Desbordamientos de búfer. Un desbordamiento de búfer se produce cuando losprogramas no responden adecuadamente una longitud adecuada. Cuando esto ocurre,código arbitrario puede ser introducido y ejecutado en el sistema con privilegios, amenudo a nivel administrativo de los programas en ejecución.Validación insuficiente de entrada. Muchas aplicaciones fallan al validar totalmentelos inputs que reciben de los usuarios. Si el usuario introduce los comandos SQL enlugar de o además del valor deseado, y la aplicación Web no filtra los comandos SQL,la consulta se puede ejecutar con cualquier cambio malicioso que el usuario solicitóque causan lo que se conoce como ataque de inyección SQL.Enlaces simbólicos. Un enlace simbólico (symlink) es un archivo que apunta a otroarchivo. Los sistemas operativos incluyen programas que pueden cambiar lospermisos concedidos a un archivo. Si estos programas se ejecutan con permisosprivilegiados, un usuario podría crear enlaces simbólicos estratégicamente paraengañar a estos programas en la modificación o el listado de archivos críticos delsistema.Ataques archivo descriptor. Los descriptores de fichero son los números que utilizael sistema de seguimiento de los archivos en lugar de nombres de archivo. Los tiposespecíficos de descriptores de archivos tienen varios usos. Cuando un programaprivilegiado asigna un descriptor de archivo inadecuado, se expone a ese archivo aestar comprometido.Condiciones de carrera. Las condiciones de carrera pueden ocurrir durante el tiempoque un programa o proceso ha entrado en un modo privilegiado. Un usuario puedemedir el tiempo de un ataque para tomar ventaja de privilegios elevados, mientras queel programa o proceso está todavía en el modo privilegiado.De archivo incorrecto y acceso a un directorio. Archivos y directorios de permisoscontrolan el acceso asignados a los usuarios y procesos. Permisos pobres podríanpermitir muchos tipos de ataques, incluyendo la lectura o escritura de archivos decontraseñas o adiciones a la lista de hosts de confianza a distancia.La fase de información ocurre simultáneamente con las otras tres fases de la pruebade penetración (ver Figura 5-1). En la fase de planificación, el plan de evaluación sedesarrolla. En el descubrimiento y las fases de ataque, los registros escritosgeneralmente se mantienen y los informes periódicos se hacen para losadministradores de sistemas y/o de gestión. Al término de la prueba, un informegeneral es elaborado para describir las vulnerabilidades identificadas, se presenta uninforme de los rates de riesgo, y se da orientación sobre la manera de mitigar lasdebilidades descubiertas.Logística de pruebas de penetraciónLas pruebas de penetración son importante para determinar la vulnerabilidad de la redde una organización y el nivel de daño que puede ocurrir si la red se ve comprometida.
  5. 5. Es importante tener en cuenta que dependiendo de las políticas de la organización, losevaluadores pueden ser prohibidos del uso de determinadas herramientas o técnicas,o puede limitarse a ellas utilizando sólo durante ciertas horas del día o días de lasemana. Las pruebas de penetración también representan un alto riesgo a las redesde la organización y sistemas, ya que se utilizan ataques reales y los ataques contralos sistemas de producción y de los datos. Debido a su alto costo y el impactopotencial de las pruebas, la penetración de la red de una organización y los sistemasdeben realizarse sobre una base anual, la cuál puede ser suficiente. Además, laspruebas de penetración pueden ser diseñadas para detenerse cuando el evaluadorllega un momento en que una acción adicional puede causar daños.Los resultados de las pruebas de penetración deben ser tomadas en serio, y lasvulnerabilidades descubiertas deben ser mitigados. Los resultados, cuando esténdisponibles, deben ser presentados a los gerentes y Directores de la organización.Un programa bien diseñado de la red regular y escaneo de vulnerabilidades,intercaladas con las pruebas de penetración periódicas, puede ayudar a prevenirmuchos tipos de ataques y reducir el impacto potencial de aquellos exitosos.Ingeniería SocialLa ingeniería social es un intento de engañar a alguien para revelar información (porejemplo, una contraseña) puede ser utilizado para atacar sistemas o redes. Se utilizapara poner a prueba el elemento humano y la conciencia del usuario respecto a laseguridad de la información, la misma puede revelar deficiencias en el comportamientodel usuario, tales como no cumplir con los procedimientos estándar.La ingeniería social se puede realizar a través de muchos medios, incluyendo de formaanalógica (por ejemplo, las conversaciones se realizan en persona o por teléfono) ydigital (por ejemplo, e-mail, mensajería instantánea). Una forma de ingeniería socialdigital que se conoce como phishing es donde los atacantes tratan de robarinformación como números de tarjetas de crédito, de débito, nombres de usuario ycontraseñas. El phishing utiliza auténticos correos electrónicos de aspecto parasolicitar información a los usuarios en un sitio Web falso, para recopilar información.Otros ejemplos de la ingeniería social digital incluyen la elaboración de correoselectrónicos fraudulentos y envío de archivos adjuntos que podrían imitar la actividadde un gusano para recopilar informaciónLa ingeniería social puede ser usada para destinatarios específicos de alto valorjerárquico o grupos específicos en la organización, tales como ejecutivos, o puedetener un conjunto de objetivos generales.Los objetivos específicos se pueden identificar cuando la organización tieneconocimiento de una amenaza existente o se siente que la pérdida de información deuna persona o un grupo específico de personas podrían tener un impacto significativo.Por ejemplo, los ataques de phishing pueden ser escogidos en base a la informaciónpública disponible sobre personas concretas (por ejemplo, títulos, temas de interés,cargo, sueldo). Es importante que los resultados de las pruebas de ingeniería social seutilicen para mejorar la seguridad de la organización y no solamente a los individuosafectados. Los evaluadores deben elaborar un informe final detallado que identifica lastácticas exitosas y fallidas utilizadas. Este nivel de detalle ayudará a lasorganizaciones a adaptar sus programas de formación de sensibilización.

×